このページの情報の一部またはすべては、S3NS の Trusted Cloud には適用されない場合があります。

このページは Cloud Translation API によって翻訳されました。

Cloud External Key Manager

このページでは、Cloud External Key Manager（Cloud EKM）の概要について説明します。

用語

外部鍵マネージャー（EKM）

鍵の管理に Trusted Cloud の外部で使用する鍵マネージャー。
Cloud External Key Manager（Cloud EKM）

サポートされている EKM で管理されている外部鍵を使用するためのサービス。 Trusted Cloud
VPC 経由での Cloud EKM

Trusted Cloud Virtual Private Cloud（VPC）を介して外部鍵マネージャーと通信するバージョンの Cloud EKM。詳細については、VPC ネットワークの概要をご覧ください。
Cloud KMS からの EKM 鍵の管理

鍵は Cloud KMS EKM 管理モードを使用するため、外部鍵管理パートナーと Cloud EKM で外部鍵を維持するプロセスが簡素化されます。詳細については、このページの調整された外部鍵と Cloud KMS からの EKM 鍵の管理をご覧ください。
暗号空間

外部鍵管理パートナー内のリソースのコンテナ。暗号空間は一意の暗号空間パスで識別されます。暗号空間パスの形式は、外部鍵管理パートナーによって異なります（例: v0/cryptospaces/YOUR_UNIQUE_PATH）。
パートナーが管理する EKM

EKM が信頼できるパートナーによって管理される仕組み。詳細については、このページのパートナー管理の EKM をご覧ください。

概要

Cloud EKM では、サポートされている外部鍵管理パートナー内で管理する鍵を使用して、Trusted Cloud内のデータを保護できます。サポートされる CMEK 統合サービスに保存するか、Cloud Key Management Service API を直接呼び出して、データを保護できます。

Cloud EKM には次のような利点があります。

鍵の来歴: 外部管理する鍵の場所と分布を制御できます。外部で管理する鍵が Trusted Cloud内にキャッシュまたは保存されることはありません。代わりに、Cloud EKM はリクエストごとに外部の鍵管理パートナーと直接やり取りします。
アクセス制御: 外部鍵マネージャーで外部で管理する鍵へのアクセスを管理します。外部鍵マネージャーの鍵へのアクセス権をプロジェクトに最初に付与しない限り、Trusted Cloud では外部で管理する鍵を使用できません。 Trusted Cloud 付与したアクセス権の取り消しはいつでも可能です。
一元化された鍵管理: 保護対象のデータがクラウドにあるかオンプレミスかにかかわらず、鍵とアクセスポリシーを 1 つのユーザーインターフェースから管理できます。

いずれの場合でも、鍵はすべて外部システムに存在し、Google に送信されることはありません。

外部鍵マネージャーとの通信は Virtual Private Cloud（VPC）経由で行います。

Cloud EKM の仕組み

Cloud EKM 鍵バージョンは次の部分で構成されています。

外部鍵マテリアル: Cloud EKM 鍵の外部鍵マテリアルは、EKM で作成され、保存される暗号マテリアルです。このマテリアルは EKM から外部に送信されることはなく、Google と共有されることはありません。
鍵の参照: 各 Cloud EKM 鍵バージョンには、鍵の URI または鍵のパスが含まれています。これは、鍵を使用して暗号オペレーションをリクエストするときに Cloud EKM が使用する外部鍵マテリアルの固有識別子です。
内部鍵マテリアル: 対称 Cloud EKM 鍵が作成されると、Cloud KMS は Cloud KMS に追加の鍵マテリアルを作成します。この鍵マテリアルは Cloud KMS から外部に送信されることはありません。この鍵マテリアルは、EKM との通信時に追加の暗号化レイヤとして使用されます。この内部鍵マテリアルは、非対称署名鍵には適用されません。

Cloud EKM 鍵を使用するには、Cloud EKM が暗号オペレーションのリクエストを EKM に送信します。たとえば、対称暗号鍵でデータを暗号化するために、Cloud EKM はまず内部鍵マテリアルを使用してデータを暗号化します。暗号化されたデータは、EKM へのリクエストに含まれます。EKM は、外部鍵マテリアルを使用して暗号化されたデータを別の暗号化レイヤにラップし、結果の暗号テキストを返します。Cloud EKM 鍵を使用して暗号化されたデータは、外部鍵マテリアルと内部鍵マテリアルの両方がないと復号できません。

Cloud EKM 鍵を作成して管理するには、Cloud KMS と EKM の両方で対応する変更が必要です。鍵が調整された外部鍵であるため、これらの対応する変更は Cloud EKM コントロールプレーンを使用して処理されます。詳細については、このページの調整された外部キーをご覧ください。

次の図では、鍵管理モデルにおける Cloud KMS の位置づけを示します。この図では、Compute Engine と BigQuery の 2 つの例を使用します。Cloud EKM 鍵をサポートするサービスの一覧もご覧ください。

Cloud EKM による暗号化と復号化を説明する図

Cloud EKM を使用する際の考慮事項と制限事項を確認できます。

調整された外部鍵

このセクションでは、Cloud EKM が調整された外部鍵と連携する仕組みの概要を説明します。

EKM 接続を設定し、EKM 管理モードを Cloud KMS に設定します。設定時に、EKM が VPC ネットワークにアクセスできるように承認し、Trusted Cloud プロジェクトサービスアカウントが EKM の暗号空間にアクセスできるように承認する必要があります。EKM 接続では、EKM のホスト名と、EKM 内のリソースを識別する暗号空間パスが使用されます。
Cloud KMS で外部鍵を作成します。Cloud KMS EKM 管理モードが有効になっている VPC 接続を介して EKM を使用して Cloud EKM 鍵を作成すると、次の手順が自動的に実行されます。
1. Cloud EKM は、鍵作成リクエストを EKM に送信します。
2. EKM は、リクエストされた鍵マテリアルを作成します。この外部鍵マテリアルは EKM に残り、Google に送信されることはありません。
3. EKM は、Cloud EKM にキーパスを返します。
4. Cloud EKM は、EKM から提供された鍵パスを使用して Cloud EKM 鍵バージョンを作成します。
調整された外部鍵のメンテナンスオペレーションは、Cloud KMS から開始できます。たとえば、対称暗号に使用される調整された外部鍵は、設定されたスケジュールで自動的にローテーションできます。新しい鍵バージョンの作成は、Cloud EKM によって EKM 内で調整されます。Trusted Cloud コンソール、gcloud CLI、Cloud KMS API、Cloud KMS クライアントライブラリを使用して、Cloud KMS から EKM の鍵バージョンの作成または破棄をトリガーすることもできます。

Trusted Cloud内では、鍵は他の Cloud KMS 鍵と Cloud HSM 鍵の横に保護レベル EXTERNAL_VPC で表示されます。クラウド EKM 鍵と外部鍵管理パートナー鍵は連携してデータを保護します。外部鍵マテリアルは Google に公開されません。

Cloud KMS からの EKM 鍵の管理

調整された外部鍵は、Cloud KMS の EKM 鍵管理を使用する EKM 接続によって実現されます。EKM が Cloud EKM コントロールプレーンをサポートしている場合は、EKM 接続の Cloud KMS から EKM 鍵管理を有効にして、調整された外部鍵を作成できます。Cloud KMS からの EKM 鍵の管理が有効になっている場合、Cloud EKM は EKM で次の変更をリクエストできます。

鍵を作成する: 互換性のある EKM 接続を使用して Cloud KMS で外部管理の鍵を作成すると、Cloud EKM は鍵作成リクエストを EKM に送信します。成功すると、EKM は新しい鍵と鍵マテリアルを作成し、Cloud EKM が鍵へのアクセスに使用する鍵パスを返します。
鍵をローテーションする: 互換性のある EKM 接続を使用して Cloud KMS で外部管理の鍵をローテーションすると、Cloud EKM はローテーションリクエストを EKM に送信します。成功すると、EKM は新しい鍵マテリアルを作成し、Cloud EKM が新しい鍵バージョンにアクセスするために使用する鍵パスを返します。
鍵を破棄する: 互換性のある EKM 接続を使用して Cloud KMS で外部管理の鍵の鍵バージョンを破棄すると、Cloud KMS はその鍵バージョンの破棄を Cloud KMS でスケジュールします。破棄がスケジュールされている期間が終了する前に鍵バージョンが復元されない場合、Cloud EKM は鍵の暗号マテリアルの一部を破棄し、EKM に破棄リクエストを送信します。

EKM が鍵バージョンをまだ破棄していなくても、Cloud KMS で鍵バージョンが破棄された後、この鍵バージョンで暗号化されたデータは復号できません。EKM が鍵バージョンを正常に破棄したかどうかを確認するには、Cloud KMS で鍵の詳細を表示します。

EKM 内の鍵が Cloud KMS から管理されている場合、鍵マテリアルは引き続き EKM に残ります。Google は、明示的な許可なしに EKM に鍵管理リクエストを送信できません。 Google は、外部鍵管理パートナーシステムの権限を変更できません。 EKM で Google の権限を取り消すと、Cloud KMS で試行された鍵管理オペレーションは失敗します。

互換性

サポートされるキーマネージャー

外部鍵は、次の外部鍵管理パートナーシステムに保存できます。

現在サポート:
- Fortanix
- Futurex
- Thales

Cloud EKM で CMEK をサポートするサービス

次のサービスでは、外部（Cloud EKM）鍵のための Cloud KMS との統合がサポートされています。

Agent Assist
AlloyDB for PostgreSQL
Apigee API Hub
Application Integration
Artifact Registry
Backup for GKE
BigQuery
Bigtable
Cloud Composer
Cloud Data Fusion
Cloud Healthcare API
Cloud Logging: ログルーターのデータ、Logging ストレージのデータ
Cloud Run
Cloud Run 関数
Cloud SQL
Cloud Storage
Cloud Tasks
Cloud Workstations
Compute Engine: 永続ディスク、スナップショット、カスタムイメージ、マシンイメージ
会話型分析情報
Database Migration Service: MySQL の移行 - データベースに書き込まれたデータ、PostgreSQL の移行 - データベースに書き込まれたデータ、PostgreSQL から AlloyDB への移行 - データベースに書き込まれたデータ、SQL Server の移行 - データベースに書き込まれたデータ、Oracle から PostgreSQL への保存データ
Dataflow
Dataform
Dataplex Universal Catalog
Dataproc: VM ディスク上の Dataproc クラスタデータと VM ディスク上の Dataproc サーバーレスデータ
Dataproc Metastore
Dialogflow CX
Document AI
Eventarc Standard
Filestore
Firestore
Google Cloud Managed Service for Apache Kafka
Google Distributed Cloud
Google Kubernetes Engine:VM ディスク上のデータ、アプリケーションレイヤのシークレット
Integration Connectors（プレビュー）
Looker（Google Cloud コア）
Memorystore for Redis
Migrate to Virtual Machines: VMware、AWS、Azure VM ソースから移行されたデータディスクとマシンイメージのソースから移行されたデータ
Parameter Manager
Pub/Sub
Secret Manager
Secure Source Manager
Spanner
Speaker ID （制限付き一般提供版）
Speech-to-Text
Vertex AI
Vertex AI Workbench インスタンス
Workflows

考慮事項

Cloud EKM 鍵を使用する場合、Google は外部の鍵管理パートナーシステム内の外部管理鍵の在庫をコントロールできません。 Trusted Cloudの外部で管理している鍵を紛失すると、Google はデータを復元できません。
Cloud EKM 鍵のロケーションを選択する際は、外部鍵管理のパートナーとリージョンのガイドラインを確認します。
インターネット経由で外部サービスと通信すると、信頼性、可用性、レイテンシに問題が発生する場合があります。こうしたリスクに対する許容度が低いアプリケーションについては、Cloud HSM か Cloud KMS を使用して鍵マテリアルを保存することを検討してください。
- 外部鍵が使用できない場合、Cloud KMS により FAILED_PRECONDITION エラーが返され、PreconditionFailure エラーの詳細にその内容が入ります。
  
  データ監査ロギングを有効にして、Cloud EKM に関連するすべてのエラーの記録を保持します。エラーメッセージには、原因の特定に役立つ詳細情報が含まれています。よく発生するエラーの例としては、外部鍵管理パートナーが適切な時間内にリクエストに応答しない場合などがあります。
- 外部の鍵管理パートナーとのサポート契約が必要になります。Trusted Cloud サポートは、Trusted Cloud サービスの問題のみをサポートし、外部システムの問題を直接サポートすることはできません。相互運用性の問題のトラブルシューティングには、双方からのサポートが必要になる場合があります。
Cloud EKM を Bare Metal Rack HSM とともに使用して、Cloud KMS と統合されたシングルテナント HSM ソリューションを作成できます。詳細については、シングルテナント HSM をサポートする Cloud EKM パートナーを選択し、Bare Metal Rack HSM の要件をご覧ください。
外部鍵マネージャーで監査ロギングを有効にして、EKM 鍵へのアクセスと使用状況をキャプチャします。

注意: Cloud EKM 鍵を使用すると、鍵が使用できなくなる可能性があるリスクがあります。使用しているサービスによっては、致命的なエラーやアクセス不能なデータが発生する場合があります。たとえば、外部 CMEK 鍵を使用して Google Kubernetes Engine アプリケーションレイヤのシークレットを暗号化する場合、シークレットを復号できなければ、ノードを使用できなくなる可能性があります。外部鍵にアクセスできないことが、永続的なデータ損失につながる可能性もあります。たとえば、Spanner データベースの暗号化に使用された CMEK 鍵が 30 日以上連続して使用できない場合、Spanner によって、そのデータベースは自動的に削除されます。現在の鍵バージョンを利用できない場合、新しい鍵バージョンにローテーションしてもデータは復元できません。可用性を高めるため、VPC 経由の Cloud EKM、または Cloud HSM 鍵の使用を検討してください。

制限事項

API または Google Cloud CLI を使用して Cloud EKM 鍵を作成する場合は、初期鍵バージョンを含めないでください。これは、Trusted Cloud コンソールを使用して作成された Cloud EKM 鍵には適用されません。
Cloud EKM オペレーションは、Cloud KMS オペレーションの割り当てに加えて特定の割り当ての対象です。

対称暗号鍵

対称暗号鍵は次の場合にのみサポートされます。
- サポートされる統合サービスの顧客管理の暗号鍵（CMEK）。
- Cloud KMS を直接使用した対称暗号化と復号。
外部管理の鍵を使用して Cloud EKM により暗号化されたデータは、Cloud EKM を使用しないと復号できません。

非対称署名鍵

非対称署名鍵は、Cloud KMS アルゴリズムのサブセットのみに限定されます。
非対称署名鍵は、次のユースケースでのみサポートされています。
- Cloud KMS を直接使用した非対称署名。
- アクセス承認でカスタム署名鍵。
Cloud EKM 鍵に非対称署名アルゴリズムを設定すると、変更することはできません。
署名は data フィールドで行う必要があります。

パートナーが管理する EKM

パートナー管理の EKM を使用すると、EKM システムを管理する信頼できる主権パートナーを通じて Cloud EKM を使用できます。パートナー管理の EKM では、Cloud EKM で使用する鍵をパートナーが作成して管理します。パートナーは、EKM が主権の要件を満たしていることを確認します。

主権パートナーをオンボーディングすると、そのパートナーが Google Cloud と EKM にリソースをプロビジョニングします。 Trusted Cloud これらのリソースには、Cloud EKM 鍵を管理する Cloud KMS プロジェクトと、Cloud KMS からの EKM 鍵管理用に構成された EKM 接続が含まれます。パートナーは、データ所在地の要件に従って Trusted Cloud ロケーションにリソースを作成します。

各 Cloud EKM 鍵には Cloud KMS メタデータが含まれています。これにより、Cloud EKM は EKM にリクエストを送信し、EKM から離れることがない外部鍵マテリアルを使用して暗号オペレーションを実行できます。対称 Cloud EKM 鍵には、 Trusted Cloudから外部に送信されない Cloud KMS 内部鍵マテリアルも含まれています。Cloud EKM 鍵の内部と外部の詳細については、このページの Cloud EKM の仕組みをご覧ください。

パートナー管理の EKM の詳細については、パートナー管理の Cloud KMS を構成するをご覧ください。

次のステップ

API の使用を開始します。
VPC を介して EKM を使用する EKM 接続を作成します。
Cloud KMS API リファレンスを通読する。
Cloud KMS のロギングについて説明します。Logging は、オペレーションに基づいており、HSM とソフトウェア保護の両方のレベルの鍵に適用されます。