このドキュメントでは、顧客管理の暗号鍵(CMEK)に Cloud Key Management Service(Cloud KMS)を使用する方法の概要について説明します。Cloud KMS の CMEK を使用すると、Cloud de Confiance by S3NSの保存データを保護する鍵をお客様自身が所有、コントロールできます。
CMEK と Google Cloud-powered encryption keysの比較
作成する Cloud KMS 鍵は、お客様が管理する鍵です。鍵を使用するCloud de Confiance サービスは、CMEK 統合が行われていると言われています。 次の要因により、 Cloud de Confianceのデフォルトの保存データの暗号化と顧客管理の鍵を区別します。
| 鍵の種類 | 顧客管理 | Google Cloud-powered encryption key (Google のデフォルトの暗号化) |
|---|---|---|
鍵のメタデータを閲覧可能 |
はい |
いいえ |
鍵の所有権1 |
お客様 |
|
お客様、手動制御のみ |
||
顧客管理の暗号鍵の規制要件をサポート |
はい |
いいえ |
鍵の共有 |
お客様に固有 |
通常、複数のお客様のデータは共有鍵暗号鍵(KEK)で保護されます。 |
鍵のローテーションの制御 |
はい |
|
はい |
いいえ | |
はい |
いいえ |
|
暗号化による論理データ分離 |
はい |
いいえ |
料金 |
保護レベルによって異なる | 無料 |
1 鍵の所有者は鍵に対する権利の所有者を示します。お客様が所有する鍵は、アクセスが厳格に制限されているか、Google はこれにアクセスできません。
2 鍵の管理には次のタスクが含まれます。
- 鍵を作成する。
- 鍵の保護レベルを選択する。
- 鍵を管理する権限を割り当てる。
- 鍵へのアクセスを制御する。
- 鍵の使用を制御する。
- 鍵のローテーション期間を設定および変更したり、鍵のローテーションをトリガーしたりする。
- 鍵のステータスを変更する。
- 鍵バージョンを破棄する。
3 鍵の制御とは、鍵の種類と鍵の使用方法に対する制御の設定、差異の検出、必要に応じた是正措置の計画を意味します。ユーザーは鍵を制御できますが、鍵の管理は第三者に委任します。
Google Cloud-powered encryption keysによるデフォルトの暗号化
Cloud de Confiance に保存されているすべてのデータは、 Cloud de Confiance が独自の暗号化データに使用しているのと同じ強化鍵管理システムを使用して保存時に暗号化されます。こうした鍵管理システムでは厳密な鍵のアクセス制御と監査が行われ、AES-256 暗号化標準を使用してユーザーの保存データを暗号化します。 Cloud de Confiance は、データの暗号化に使用される鍵を所有し、制御します。これらの鍵の表示や管理、鍵の使用状況ログの確認はできません。複数のお客様のデータが同じ鍵暗号鍵(KEK)を使用することがあります。設定、構成、管理は必要ありません。
顧客管理の暗号鍵(CMEK)
顧客管理の暗号鍵は、ユーザーが所有する暗号鍵です。この機能を使用すると、サポートされている Cloud de Confiance サービス内で保存データの暗号化に使用する鍵をより細かく制御し、データに暗号境界を設定できます。
CMEK をサポートするサービスには、CMEK 統合があります。CMEK 統合は、Cloud de Confianceのデフォルトの暗号化の代わりに使用できるサーバーサイドの暗号化技術です。CMEK の設定後、リソースの暗号化と復号のオペレーションはリソース サービス エージェントによって処理されます。CMEK 統合サービスは暗号化されたリソースへのアクセスを処理するため、暗号化と復号はエンドユーザーに手間をかけることなく透過的に行われます。リソースにアクセスする方法は、 Cloud de Confianceのデフォルトの暗号化を使用する場合と似ています。CMEK 統合の詳細については、CMEK 統合サービスの特長をご覧ください。
それぞれの鍵には、鍵バージョンを無制限で使用できます。
サービスが CMEK をサポートしているかどうかを確認するには、サポートされているサービスの一覧をご覧ください。
Cloud KMS を使用すると、鍵バージョンの数と、それらの鍵バージョンを使用した暗号オペレーションに関連する費用が発生します。
顧客管理の暗号鍵を使用するタイミング
互換性のあるサービスで CMEK を使用すると、次の目標を達成できます。暗号鍵を所有する。
ロケーション、保護レベル、作成、アクセス制御、ローテーション、使用、破棄の選択など、暗号鍵を制御、管理する。
Cloud KMS で鍵マテリアルを生成するか、 Cloud de Confianceの外部で管理されている鍵マテリアルをインポートします。
鍵を使用する必要がある場所に関するポリシーを設定する。
オフボーディングが発生した場合や、セキュリティ イベントを修復(クリプト シュレッディング)する場合に、鍵で保護されたデータを選択して削除します。
お客様に固有の鍵を作成して使用し、データの周囲に暗号境界を確立します。
暗号鍵への管理とデータアクセスをログに記録する。
これらの目標のいずれかを必要とする現在または将来の規制に対応できます。
CMEK 統合サービスの特長
Cloud de Confianceのデフォルトの暗号化と同様に、CMEK は顧客データのサーバーサイドで対称のエンベロープ暗号化です。 Cloud de Confianceのデフォルトの暗号化との違いは、CMEK 保護ではお客様が管理する鍵が使用されるということです。
CMEK 統合があるクラウド サービスでは、Cloud KMS で作成した鍵を使用してリソースを保護します。
Cloud KMS と統合されているサービスは、対称暗号化を使用します。
鍵の保護レベルを選択します。
すべての鍵は 256 ビットの AES-GCM です。
鍵マテリアルが Cloud KMS システム境界の外部に出ることはありません。
対称鍵は、エンベロープ暗号化モデルで暗号化と復号に使用されます。
CMEK 統合サービスによるリソース アクセスの処理
CMEK 統合サービスでリソースを作成または表示するプリンシパルには、リソースの保護に使用される CMEK 用の Cloud KMS CryptoKey の暗号化 / 復号(roles/cloudkms.cryptoKeyEncrypterDecrypter)は必要ありません。
各プロジェクト リソースには、サービス エージェントという特別なサービス アカウントがあり、これは顧客管理の鍵で暗号化と復号を行います。サービス エージェントに CMEK へのアクセス権を付与すると、そのサービス エージェントは、その鍵を使用して選択したリソースを保護します。
リクエスト元が顧客管理の鍵で暗号化されたリソースにアクセスする必要がある場合、サービス エージェントは自動的にリクエストされたリソースの復号を試みます。サービス エージェントに鍵を使用して復号する権限があり、鍵を無効化または破棄していない場合、サービス エージェントは鍵の暗号化と復号の使用を提供します。それ以外の場合、リクエストは失敗します。
リクエスト元の追加のアクセス権は必要ありません。また、サービス エージェントがバックグラウンドで暗号化と復号を処理するため、リソースへのアクセスのユーザー エクスペリエンスは Cloud de Confianceのデフォルトの暗号化を使用する場合と同様です。
CMEK の計画と作成
CMEK を使用する場合は、保護されたリソースを作成する前に、キーリング、鍵、リソースのロケーションを計画して作成する必要があります。 その後、鍵を使用してリソースを保護できます。
CMEK を有効にする具体的な手順については、関連するCloud de Confiance サービスのドキュメントをご覧ください。GKE などの一部のサービスでは、サービスに関連するさまざまな種類のデータを保護するために、複数の CMEK 統合を利用できます。手順は以下のようになると想定されます。
Cloud KMS キーリングを作成するか、既存のキーリングを選択します。キーリングを作成するときは、保護するリソースに地理的に近いロケーションを選択します。キーリングは、保護するリソースと同じプロジェクトに配置することも、別のプロジェクトに配置することもできます。異なるプロジェクトを使用すると、IAM ロールをより細かく制御でき、職掌分散のサポートに有効です。
選択したキーリングに Cloud KMS 鍵を作成またはインポートします。この鍵は CMEK です。
CMEK に対する暗号鍵の暗号化/復号の IAM ロール(
roles/cloudkms.cryptoKeyEncrypterDecrypter)をサービスのサービス アカウントに付与します。リソースを作成するときに、CMEK を使用するようにリソースを構成します。たとえば、テーブル内の保存データを保護するように BigQuery テーブルを構成できます。
リクエスト元がデータへのアクセス権を取得する場合、CMEK への直接アクセスは必要ありません。
サービス エージェントに CyptoKey Encrypter/Decrypter のロールがあれば、サービスはデータを暗号化および復号できます。ロールの取り消しや、CMEK の無効化や破棄をすると、そのデータにアクセスできなくなります。
CMEK コンプライアンス
一部のサービスでは CMEK 統合を利用でき、ユーザー自身で鍵を管理できます。一部のサービスでは、代わりに CMEK コンプライアンスを提供しています。つまり、一時データとエフェメラル キーはディスクに書き込まれません。統合サービスと準拠したサービスの一覧については、CMEK 互換サービスをご覧ください。
CMEK の組織のポリシー
Cloud de Confiance には組織のポリシーの制約が用意されており、組織リソース全体で CMEK の使用が一貫しているようにします。これらの制約により、CMEK の使用状況を要求する組織管理者を制御し、CMEK の保護に使用される Cloud KMS 鍵に関する次のような制限と制御を指定できます。
許可される鍵の保護レベルの制限
CMEK のロケーションの制限
鍵バージョンの破棄の制御
次のステップ
- CMEK 統合を使用したサービスの一覧をご覧ください。
- CMEK 準拠サービスの一覧をご覧ください。
- Autokey でサポートされているサービスのリストをご覧ください。