このページでは、Cloud KMS との統合を提供する Cloud de Confiance by S3NS サービスの一覧を示します。これらのサービスは通常、次のカテゴリのいずれかに当てはまります。
顧客管理の暗号鍵(CMEK)の統合を使用すると、ユーザーが所有、管理している Cloud KMS 鍵を使用して、そのサービスで保存データを暗号化できます。CMEK 鍵で保護されたデータは、その鍵へのアクセス権がないと復号できません。
CMEK 準拠サービスは、データを保存しないか、またはバッチ処理中などの短時間だけデータを保存します。このようなデータは、メモリにのみ存在し、ディスクに書き込まれないエフェメラル キーを使用して暗号化されます。データが不要になると、エフェメラル キーはメモリからフラッシュされ、データに再びアクセスすることはできなくなります。CMEK 準拠サービスの出力が、Cloud Storage などの CMEK と統合されたサービスに格納されることがあります。
アプリケーションで、他の方法で Cloud KMS を使用できます。たとえば、アプリケーション データを送信したり保存したりする前に、直接暗号化できます。
Cloud de Confiance で保存されているデータの保護方法と、顧客管理の暗号鍵(CMEK)の仕組みについて詳しくは、顧客管理の暗号鍵(CMEK)をご覧ください。
CMEK 統合
次の表では、Cloud KMS と統合されるサービスを示します。 外部の Cloud EKM 鍵を使用するときに Cloud KMS と統合されるプロダクトは、EKM のサポートの下に示されます。
| サービス | CMEK での保護 | EKM 対応 | トピック |
|---|---|---|---|
| Artifact Registry | リポジトリ内のデータ | ○ | 顧客管理の暗号鍵の有効化 |
| BigQuery | BigQuery のデータ | ○ | Cloud KMS 鍵によるデータの保護 |
| Cloud Logging | Logging ストレージ内のデータ | ○ | Logging のストレージ データを保護する鍵を管理します |
| Cloud SQL | データベースに書き込まれたデータ | ○ | 顧客管理の暗号鍵の使用 |
| Cloud Storage | ストレージ バケット内のデータ | ○ | 顧客管理の暗号鍵の使用 |
| Compute Engine | スナップショット | ○ | Cloud KMS 鍵によるリソースの保護 |
| Compute Engine | カスタム イメージ | ○ | Cloud KMS 鍵によるリソースの保護 |
| Compute Engine | マシンイメージ | ○ | Cloud KMS 鍵によるリソースの保護 |
| Pub/Sub | トピックに関連するデータ | ○ | メッセージ暗号化の構成 |
CMEK 準拠サービス
次の表では、データを長期間保存しないため、顧客管理の暗号鍵(CMEK)を使用しないサービスを示します。これらのサービスが CMEK 準拠と見なされる理由について詳しくは、CMEK コンプライアンスをご覧ください。
| サービス | トピック |
|---|---|
| API Gateway | API Gateway における CMEK コンプライアンス |
| Cloud Build | Cloud Build における CMEK コンプライアンス |
| Cloud Trace | Cloud Trace における CMEK コンプライアンス |
| Container Registry | CMEK で保護されたストレージ バケットの使用 |
| Cloud Vision | Vision API における CMEK コンプライアンス |
| Storage Transfer Service | 顧客管理の暗号鍵 |
Cloud KMS とのその他の統合
以下のページでは、他のCloud de Confiance サービスで Cloud KMS を使用する別の方法について説明します。
| プロダクト | トピック |
|---|---|
| 任意のサービス | アプリケーション データを送信または保存する前に暗号化する |
| Cloud Build | リソースをビルドに追加する前に暗号化する |
| Sensitive Data Protection | ラップされた鍵の作成 |