顧客管理の暗号鍵(CMEK)

このドキュメントでは、顧客管理の暗号鍵(CMEK)に Cloud Key Management Service(Cloud KMS)を使用する方法の概要について説明します。Cloud KMS CMEK を使用すると、Cloud de Confiance by S3NSで保存データを保護する鍵を所有して制御できます。

CMEK と Google Cloud-powered encryption keysの比較

作成する Cloud KMS 鍵は、お客様が管理する鍵です。Cloud de Confiance 鍵を使用するサービスは、CMEK 統合が行われていると言われています。 次の要因により、 Cloud de Confianceのデフォルトの保存データの暗号化と顧客管理の鍵を区別します。

鍵の種類 顧客管理 Google Cloud-powered encryption key (Google のデフォルトの暗号化)

鍵のメタデータを表示できる

×

鍵の所有権1

お客様

Google

2 の管理と3 鍵の制御が可能

お客様、手動管理のみ

Google

お客様が管理する鍵の規制要件に対応

×

鍵の共有

お客様に固有

通常、複数のお客様のデータは共有鍵暗号鍵(KEK)で保護されます。

鍵のローテーションの管理

×

CMEK の組織のポリシー

×

暗号鍵への管理とデータアクセスをログに記録する

×

暗号化による論理データ分離

×

料金

 保護レベルによって異なる

無料

1 鍵の所有者は鍵に対する権利の所有者を示します。お客様が所有する鍵は、アクセスが厳格に制限されているか、Google はアクセス権がありません。

2 鍵の管理には次のタスクが含まれます。

  • キーの作成。
  • 鍵の保護レベルを選択する。
  • 鍵を管理する権限を割り当てる。
  • 鍵へのアクセスを制御する。
  • 鍵の使用を制御する。
  • 鍵のローテーション期間を設定および変更したり、鍵のローテーションをトリガーしたりする。
  • 鍵のステータスを変更する。
  • 鍵バージョンを破棄する。

3鍵の管理とは、鍵の種類と鍵の使用方法に対する制御の設定、差異の検出、必要に応じた是正措置の計画を意味します。ユーザーは鍵を制御できますが、鍵の管理は第三者に委任します。

Google Cloud-powered encryption keysを使用したデフォルトの暗号化

Cloud de Confiance に保存されているすべてのデータは、 Cloud de Confiance が独自の暗号化データに使用しているのと同じ強化鍵管理システムを使用して保存時に暗号化されます。こうした鍵管理システムでは厳密な鍵のアクセス制御と監査が行われ、AES-256 暗号化標準を使用してユーザーの保存データを暗号化します。 Cloud de Confiance は、データの暗号化に使用する鍵を所有して管理します。これらの鍵の表示や管理、鍵の使用状況ログの確認はできません。複数のお客様のデータが同じ鍵暗号鍵(KEK)を使用することがあります。設定、構成、管理は必要ありません。

顧客管理の暗号鍵(CMEK)

顧客管理の暗号鍵は、お客様が所有する暗号鍵です。この機能を使用すると、サポートされているサービス内で保存データの暗号化に使用する鍵をより細かく制御し、データに暗号境界を設定できます。 Cloud de Confiance

CMEK をサポートするサービスには、CMEK 統合があります。CMEK 統合は、Cloud de Confianceのデフォルトの暗号化の代わりに使用できるサーバーサイドの暗号化技術です。CMEK が設定されると、リソースの暗号化と復号のオペレーションはリソース サービス エージェントによって処理されます。CMEK 統合サービスは暗号化されたリソースへのアクセスを処理するため、暗号化と復号はエンドユーザーに手間をかけることなく透過的に行われます。リソースにアクセスする方法は、 Cloud de Confianceのデフォルトの暗号化を使用する場合と似ています。CMEK 統合の詳細については、CMEK 統合サービスの特長をご覧ください。

それぞれの鍵には、鍵バージョンを無制限で使用できます。

サービスが CMEK をサポートしているかどうかを確認するには、サポートされているサービスのリストをご覧ください。

Cloud KMS を使用すると、鍵バージョンの数と、それらの鍵バージョンを使用した暗号オペレーションに関連する費用が発生します。

顧客管理の暗号鍵を使用するタイミング

互換性のあるサービスで CMEK を使用すると、次の目標を達成できます。

  • 暗号鍵を所有する。

  • ロケーション、保護レベル、作成、アクセス制御、ローテーション、使用、破棄の選択など、暗号鍵を制御、管理する。

  • Cloud KMS で鍵マテリアルを生成するか、 Cloud de Confianceの外部で管理されている鍵マテリアルをインポートします。

  • 鍵を使用する必要がある場所に関するポリシーを設定する。

  • オフボーディングが発生した場合や、セキュリティ イベントを修復(クリプト シュレッディング)する場合に、鍵で保護されたデータを選択して削除します。

  • お客様に固有の鍵を作成して使用し、データの周囲に暗号境界を確立します。

  • 暗号鍵への管理とデータアクセスをログに記録する。

  • これらの目標のいずれかを必要とする現在または将来の規制に対応できます。

CMEK 統合サービスの特長

Cloud de Confianceのデフォルトの暗号化と同様に、CMEK は顧客データのサーバーサイドで対称のエンベロープ暗号化です。 Cloud de Confianceのデフォルトの暗号化との違いは、CMEK 保護ではお客様が管理する鍵が使用されるということです。

  • CMEK 統合があるクラウド サービスでは、Cloud KMS で作成した鍵を使用してリソースを保護します。

  • Cloud KMS と統合されたサービスは、対称暗号化を使用します。

  • 鍵の保護レベルを選択します。

  • すべての鍵は 256 ビット AES-GCM です。

  • 鍵マテリアルが Cloud KMS システム境界の外部に出ることはありません。

  • 対称鍵は、エンベロープ暗号化モデルで暗号化と復号に使用されます。

CMEK 統合サービスによるリソース アクセスの処理

CMEK 統合サービスでリソースを作成または表示するプリンシパルには、リソースの保護に使用される CMEK 用の Cloud KMS CryptoKey の暗号化 / 復号roles/cloudkms.cryptoKeyEncrypterDecrypter)は必要ありません。

各プロジェクト リソースには、サービス エージェントという特別なサービス アカウントがあり、これは顧客管理の鍵で暗号化と復号を行います。サービス エージェントに CMEK へのアクセス権を付与すると、そのサービス エージェントは、その鍵を使用して選択したリソースを保護します。

リクエスト元が顧客管理の鍵で暗号化されたリソースにアクセスする必要がある場合、サービス エージェントは自動的にリクエストされたリソースの復号を試みます。サービス エージェントに鍵を使用した復号の権限があり、鍵を無効にしたり破棄したりしていない場合、サービス エージェントは鍵の暗号化と復号を行います。それ以外の場合、リクエストは失敗します。

リクエスト元の追加のアクセス権は必要ありません。また、サービス エージェントがバックグラウンドで暗号化と復号を処理するため、リソースへのアクセスのユーザー エクスペリエンスは Cloud de Confianceのデフォルトの暗号化を使用する場合と同様です。

CMEK の計画と作成

CMEK を使用する場合は、保護されたリソースを作成する前に、キーリング、鍵、リソースのロケーションを計画して作成する必要があります。 その後、鍵を使用してリソースを保護できます。

CMEK を有効にする具体的な手順については、関連するCloud de Confiance サービスのドキュメントをご覧ください。GKE などの一部のサービスでは、サービスに関連するさまざまな種類のデータを保護するために、複数の CMEK 統合を利用できます。手順は以下のようになると想定されます。

  1. Cloud KMS キーリングを作成するか、既存のキーリングを選択します。キーリングを作成するときに、保護するリソースに地理的に近いロケーションを選択します。キーリングは、保護するリソースと同じプロジェクトに配置することも、別のプロジェクトに配置することもできます。異なるプロジェクトを使用すると、IAM ロールをより細かく制御でき、職掌分散のサポートに有効です。

  2. 選択したキーリングに Cloud KMS 鍵を作成またはインポートします。この鍵が CMEK です。

  3. CMEK に対する CryptoKey Encrypter/Decrypter IAM ロールroles/cloudkms.cryptoKeyEncrypterDecrypter)をサービスのサービス アカウントに付与します。

  4. リソースを作成するときに、CEMK を使用するようにリソースを構成します。たとえば、テーブル内のデータを保護するように BigQuery テーブルを構成できます。

リクエスト元がデータへのアクセス権を取得する場合、CMEK への直接アクセスは必要ありません。

サービス エージェントに CyptoKey Encrypter/Decrypter のロールがあれば、サービスはデータを暗号化および復号できます。ロールの取り消しや、CMEK の無効化や破棄をすると、そのデータにアクセスできなくなります。

CMEK コンプライアンス

一部のサービスでは CMEK 統合を利用でき、ユーザー自身で鍵を管理できます。一部のサービスでは、代わりに CMEK コンプライアンスを提供しています。つまり、一時データとエフェメラル キーはディスクに書き込まれません。統合サービスと準拠したサービスの一覧については、CMEK 互換サービスをご覧ください。

CMEK の組織のポリシー

Cloud de Confiance には、組織リソース全体で CMEK の使用が一貫しているようにするための組織のポリシーの制約が用意されています。これらの制約により、CMEK の使用を要求する組織管理者を制御し、CMEK の保護に使用される Cloud KMS 鍵に関する次のような制限と制御を指定できます。

次のステップ