Cloud Key Management Service(Cloud KMS)を使用すると、互換性のある Cloud de Confiance by S3NS サービスと独自の アプリケーションで使用する暗号鍵 を作成し、管理できるようになります。Cloud KMS を使用すると、次のことができます。
- ソフトウェア鍵を生成するか、既存の鍵を Cloud KMS にインポートします。または、 互換性のある外部鍵管理(EKM)システムで 外部鍵をリンクします。
- CMEK 統合により、 プロダクトで顧客管理の暗号鍵(CMEK)を使用します。 Cloud de ConfianceCMEK 統合では、Cloud KMS 鍵を使用してデータ 暗号鍵(DEK)を暗号化または「ラップ」します。DEK を鍵暗号鍵(KEK)でラップすることは、 エンベロープ暗号化と呼ばれます。
- 暗号化と復号のオペレーションに Cloud KMS 鍵を使用します。たとえば、Cloud KMS API またはクライアント ライブラリを使用して、クライアントサイド暗号化に Cloud KMS 鍵を使用できます。
- Cloud KMS 鍵を使用して、 デジタル署名または メッセージ認証コード(MAC) 署名を作成または検証します。
- Cloud KMS 鍵を使用して、鍵カプセル化メカニズムを使用して共有シークレットを確立します。
ニーズに合った暗号化を選択する:
次の表を使用して、各ユースケースのニーズを満たす暗号化の種類を特定できます。ニーズに最適なソリューションは、複数の暗号化方法の組み合わせである場合があります。 たとえば、最も機密性の低いセンシティブ データにはソフトウェア鍵を使用し、最も機密性の高いセンシティブ データには外部鍵を使用することが考えられます。 このセクションで説明する暗号化オプションの詳細については、このページの Cloud de Confiance by S3NSのデータを保護するをご覧ください。
| 暗号化のタイプ | 互換性のあるサービス | 機能 |
|---|---|---|
| Google Cloud-powered encryption keys (Cloud de Confiance デフォルトの暗号化) | 顧客データを保存するすべての Cloud de Confiance サービス |
|
| 顧客管理の
暗号鍵 \- ソフトウェア (Cloud KMS 鍵) |
40 種類以上のサービス |
|
| 顧客管理の
暗号鍵 - 外部 (Cloud EKM 鍵) |
30 種類以上のサービス |
|
| クライアントサイド暗号化 Cloud KMS 鍵を使用した | アプリケーションでクライアント ライブラリ を使用する |
|
| 顧客指定の暗号鍵 |
|
注: 料金は、暗号化のタイプと保護レベルによって異なります。詳細については、 から提供された料金の詳細をご覧ください。 Cloud de Confiance
でデータを保護する Cloud de Confiance by S3NS
Google Cloud-powered encryption keys (Cloud de Confiance デフォルトの暗号化)
デフォルトでは、 Cloud de Confiance の保存データは、キーストア Cloud de Confianceの内部鍵管理サービスである鍵によって保護されます。キーストアの鍵は Cloud de Confianceによって自動的に管理されるため、 ユーザーによる構成は不要です。ほとんどの サービスは、鍵を自動的にローテーションします。キーストアは、主キーのバージョンと、限られた数の古い鍵バージョンをサポートしています。主キーのバージョンは、新しいデータ暗号鍵の暗号化に使用されます。 古いバージョンの鍵は既存のデータ暗号鍵の復号に依然として使用できます。 これらの鍵の表示や管理、鍵の使用状況ログの確認はできません。複数のお客様のデータが同じ鍵暗号鍵を使用することがあります。
このデフォルトの暗号化では、FIPS 140-2 レベル 1 に準拠していることが検証された暗号モジュールが使用されます。
顧客管理の暗号鍵(CMEK)
CMEK 統合サービスでリソースを保護するために使用される Cloud KMS 鍵は、顧客管理の暗号鍵(CMEK)です。
互換性のある サービスで Cloud KMS 鍵を使用すると、次の目標を達成できます。
暗号鍵を所有する。
ロケーション、保護レベル、作成、アクセス制御、ローテーション、使用、破棄の選択など、暗号鍵を制御、管理する。
オフボーディングが発生した場合や、セキュリティ イベントを修復(クリプト シュレッディング)する場合に、鍵で保護されたデータを選択して削除する。
データの周囲に暗号境界を確立する専用の単一テナント鍵を作成する。
暗号鍵への管理とデータアクセスをログに記録する。
これらの目標のいずれかを必要とする現在または将来の規制に対応できます。
CMEK 統合サービスで Cloud KMS 鍵を使用する場合、組織のポリシーを使用して、ポリシーの指定に従って CMEK が使用されるようにできます。たとえば、 互換性のある Cloud de Confiance リソースが暗号化に Cloud KMS 鍵を使用するようにする組織のポリシーを設定できます。組織のポリシーでは、鍵リソースを配置する必要があるプロジェクトを指定することもできます。
提供される機能と保護レベルは、鍵の保護レベルによって異なります。
ソフトウェア鍵 - Cloud KMS でソフトウェア鍵を生成し、 すべての Cloud de Confiance ロケーションで使用できます。自動ローテーションで対称鍵を作成できます。または、手動ローテーションで非対称鍵を作成することもできます。顧客管理のソフトウェア鍵は、FIPS 140-2 レベル 1 検証済みのソフトウェア暗号モジュールを使用します。ローテーション期間、Identity and Access Management(IAM)のロールと権限、鍵を管理する組織のポリシーも制御できます。ソフトウェア鍵は、多くの互換性のある Cloud de Confiance リソースで使用できます。
インポートされたソフトウェア鍵 - Cloud KMS で使用するために他の場所に作成したソフトウェア鍵をインポートできます。新しい鍵バージョンをインポートして、インポートした鍵を手動でローテーションできます。IAM のロールと権限と組織のポリシーを使用して、インポートした鍵の使用を管理できます。
外部鍵と Cloud EKM - 外部鍵マネージャー(EKM)に存在する鍵を使用できます。Cloud EKM によって、 サポートされている鍵マネージャーに保持されている鍵を使用して、 Cloud de Confiance リソースを保護できます。 Virtual Private Cloud(VPC)上で EKM に接続します。 Cloud KMS 鍵をサポートする一部の サービスは、Cloud EKM 鍵をサポートしていません。 Cloud de Confiance
Cloud KMS 鍵
Cloud KMS クライアント ライブラリまたは Cloud KMS API を使用して、カスタム アプリケーションで Cloud KMS 鍵を使用できます。クライアント ライブラリと API を使用すると、データの暗号化と復号、データの署名、署名の検証を行うことができます。