保護レベル

このページでは、Cloud KMS でサポートされているさまざまな保護レベルを比較します。

ソフトウェア
保護レベルが SOFTWARE の Cloud KMS 鍵は、ソフトウェアで実行される暗号オペレーションに使用されます。Cloud KMS 鍵は Google が生成できます。または、インポートすることもできます。
VPC を介した外部
保護レベルが EXTERNAL_VPC の Cloud EKM 鍵が生成され、外部鍵管理(EKM)システムに保存されます。 Cloud EKM には、追加の暗号マテリアルと、Virtual Private Cloud(VPC)ネットワーク経由で鍵にアクセスするために使用される一意の鍵へのパスが保存されます。

これらの保護レベルの鍵には、次の共通の機能があります。

  • 顧客管理の暗号鍵(CMEK)に統合されたTrusted Cloud サービスでお客様の鍵を使用します。

  • 鍵の保護レベルに基づく特別なコードを使用せずに、Cloud KMS API またはクライアント ライブラリで鍵を使用します。

  • Identity and Access Management(IAM)のロールを使用して、鍵へのアクセスを制御します。

  • Cloud KMS から、各鍵バージョンが有効無効かを制御します。

  • 主要なオペレーションは監査ログに記録されます。データアクセス ロギングを有効にできます。

ソフトウェアの保護レベル

Cloud KMS は、ソフトウェア鍵のすべての暗号オペレーションに BoringCrypto モジュール(BCM)を使用します。BCM は FIPS 140-2 検証済みです。Cloud KMS ソフトウェア鍵は、BCM の FIPS 140-2 レベル 1 検証済みの暗号プリミティブを使用します。

ソフトウェア鍵は、より高い FIP 140-2 検証レベルの特定の規制要件がないユースケースに適しています。

VPC を介した外部の保護レベル

Cloud External Key Manager(Cloud EKM)鍵は、サポートされている外部鍵管理(EKM)パートナー サービスで管理し、Trusted Cloud サービスと Cloud KMS API およびクライアント ライブラリで使用する鍵です。Cloud EKM 鍵は、EKM プロバイダに応じてソフトウェア格納型またはハードウェア格納型のいずれかです。Cloud EKM 鍵は、CMEK 統合サービスで、または Cloud KMS API とクライアント ライブラリを使用することによって使用できます。Cloud KMS は、VPC ネットワークを介して Cloud EKM に接続します。

Cloud EKM 鍵を使用すると、 Trusted Cloudが鍵マテリアルにアクセスできないように設定できます。

CMEK 統合サービスで Cloud EKM 鍵がサポートされているかどうかを確認するには、CMEK 統合を表示し、[EKM 互換サービスのみを表示] フィルタを適用します。

Cloud EKM 鍵は、Cloud KMS でサポートされているほとんどのリージョンのロケーションの VPC ネットワークで使用できます。

次のステップ