外部鍵を作成する

このページでは、Cloud Key Management Service(Cloud KMS)の既存のキーリングに Cloud External Key Manager(Cloud EKM)鍵を作成する方法について説明します。

始める前に

このページで説明するタスクの前に、次のことを行っておく必要があります。

  • Cloud KMS リソースを含める Trusted Cloud プロジェクト リソース。Cloud KMS リソースには、他の Trusted Cloud リソースを含まない別のプロジェクトを使用することをおすすめします。

    プロジェクトの Cloud EKM サービス アカウントをメモしておきます。次の例では、PROJECT_NUMBER を Trusted Cloud プロジェクトの プロジェクト番号に置き換えます。この情報は、 Trusted Cloud コンソールを使用して Cloud EKM 鍵を作成するたびに表示されます。

        service-PROJECT_NUMBER@gcp-sa-ekms.s3ns-system.iam.gserviceaccount.com
  • 鍵を作成するキーリングの名前と場所。 他のリソースの近くにあり、Cloud EKM をサポートしているロケーションのキーリングを選択します。 キーリングを作成するには、キーリングを作成するをご覧ください。
  • 外部鍵管理パートナー システムで、外部鍵を使用するためのアクセス権を Trusted Cloudサービス アカウントに付与します。サービス アカウントをメールアドレスとして扱います。EKM パートナーは、このドキュメントで使用されている用語とは異なる用語を使用する場合があります。
  • VPC 鍵を介した EKM を作成するには、EKM 接続を作成する必要があります。

必要なロール

鍵の作成に必要な権限を取得するには、プロジェクトまたは親リソースに対する Cloud KMS 管理者roles/cloudkms.admin)IAM ロールを付与するように管理者へ依頼してください。ロールの付与については、プロジェクト、フォルダ、組織に対するアクセス権の管理をご覧ください。

この事前定義ロールには、鍵の作成に必要な権限が含まれています。必要とされる正確な権限については、「必要な権限」セクションを開いてご確認ください。

必要な権限

鍵を作成するには、次の権限が必要です。

  • cloudkms.cryptoKeys.create
  • cloudkms.cryptoKeys.get
  • cloudkms.cryptoKeys.list
  • cloudkms.cryptoKeyVersions.create
  • cloudkms.cryptoKeyVersions.get
  • cloudkms.cryptoKeyVersions.list
  • cloudkms.keyRings.get
  • cloudkms.keyRings.list
  • cloudkms.locations.get
  • cloudkms.locations.list
  • resourcemanager.projects.get
  • 公開鍵を取得するには: cloudkms.cryptoKeyVersions.viewPublicKey

カスタムロールや他の事前定義ロールを使用して、これらの権限を取得することもできます。

調整された外部鍵を作成する

コンソール

  1. Trusted Cloud コンソールで、[鍵管理] ページに移動します。

    [鍵管理] に移動

  2. 鍵を作成するキーリングの名前をクリックします。

  3. [鍵を作成] をクリックします。

  4. [鍵名] に鍵の名前を入力します。

  5. [保護レベル] で [外部] を選択します。

  6. [External Key Manager(EKM)の接続方法] で [VPC 経由] を選択します。

  7. [VPC 経由 EKM 接続] で、接続を選択します。

    EkmConnection.list 権限がない場合は、接続リソース名を手動で入力する必要があります。

  8. [続行] をクリックします。

  9. [鍵マテリアル] セクションに、Cloud KMS によってリクエストされ、EKM で生成された新しい鍵マテリアルに関するメッセージが表示されます。 [鍵のパス] フィールドが表示された場合は、選択した VPC 接続を介した EKM が、調整された外部鍵用に構成されていません。

  10. 必要に応じて残りの鍵設定を構成してから、[作成] をクリックします。

Cloud EKM は、新しい鍵を作成するために、リクエストを EKM に送信します。EKM からキーパスが返され、Cloud EKM 鍵が使用可能になるまで、鍵は [生成を保留中] と表示されます。

gcloud

コマンドラインで Cloud KMS を使用するには、まず Google Cloud CLI の最新バージョンをインストールまたはアップグレードします

gcloud kms keys create KEY_NAME \
    --keyring KEY_RING \
    --location LOCATION \
    --purpose PURPOSE \
    --default-algorithm ALGORITHM \
    --protection-level "external-vpc" \
    --crypto-key-backend VPC_CONNECTION_RESOURCE_ID

以下を置き換えます。

  • KEY_NAME: 鍵の名前
  • KEY_RING: 鍵を含むキーリングの名前。
  • LOCATION: キーリングの Cloud KMS のロケーション
  • PURPOSE: 鍵の目的
  • ALGORITHM: 鍵に使用するアルゴリズム(例: google-symmetric-encryption)。サポートされているアルゴリズムの一覧については、アルゴリズムをご覧ください。
  • VPC_CONNECTION_RESOURCE_ID: EKM 接続のリソース ID。

すべてのフラグと有効な値については、--help フラグを指定してコマンドを実行してください。

次のステップ