このページの一部またはすべての情報は、S3NS の Cloud de Confiance に適用されない場合があります。詳細については、Google Cloud との違いをご確認ください。

Cloud de Confiance で Cloud KMS 鍵を使用する

このページでは、他の Cloud de Confiance サービスで Cloud KMS の顧客管理の暗号鍵を使用してリソースを保護する方法について説明します。詳細については、顧客管理の暗号鍵（CMEK）をご覧ください。

サービスで CMEK がサポートされている場合、CMEK 統合が行われていることが示されます。GKE などの一部のサービスでは、サービスに関連するさまざまな種類のデータを保護するために、複数の CMEK 統合を利用できます。 CMEK 統合を使用したサービスの一覧については、このページのサポートされているサービスの CMEK を有効にするをご覧ください。

始める前に

他の Cloud de Confiance サービスで Cloud KMS 鍵を使用する前に、Cloud KMS 鍵を含めるプロジェクトリソースが必要です。Cloud KMS リソースには、他の Cloud de Confiance リソースを含まない別のプロジェクトを使用することをおすすめします。

CMEK 統合

CMEK 統合を有効にする準備をする

CMEK を有効にする具体的な手順については、関連するCloud de Confiance サービスのドキュメントをご覧ください。このページのサポートされているサービスの CMEK を有効にするに記載されている各サービスの CMEK ドキュメントへのリンクをご確認いただけます。各サービスについての手順は、以下のようになると想定されます。

キーリングを作成するか、既存のキーリングを選択します。キーリングは、保護するリソースに地理的にできるだけ近い場所に配置する必要があります。
選択したキーリングで、鍵を作成するか、既存の鍵を選択します。鍵の保護レベル、目的、アルゴリズムが、保護するリソースに適していることを確認します。この鍵は CMEK 鍵です。
CMEK 鍵のリソース ID を取得します。このリソース ID は後で必要になります。
CMEK 鍵に対する暗号鍵の暗号化 / 復号の IAM ロール（roles/cloudkms.cryptoKeyEncrypterDecrypter）をサービスのサービスアカウントに付与します。

注: Cloud KMS 暗号鍵の暗号化 / 復号のロールは、鍵、キーリング、プロジェクト、フォルダ、または組織レベルで付与できます。最小権限の原則を遵守するため、このロールをニーズに合った最小レベルで付与することをおすすめします。
注意: サービスアカウントに Cloud KMS 暗号鍵の暗号化 / 復号のロールがある限り、サービスはそのデータを暗号化および復号できます。ロールを取り消すか、CMEK 鍵を無効にするか破棄すると、データにアクセスできなくなります。CMEK 鍵にアクセスできない状態が続くと、サービスに影響する可能性があります。

鍵を作成して必要な権限を割り当てたら、CMEK 鍵を使用するようにサービスを作成または構成できます。

CMEK 統合サービスで Cloud KMS 鍵を使用する

次の手順では、Secret Manager を例として使用します。特定のサービスで Cloud KMS CMEK 鍵を使用する具体的な手順については、CMEK 統合サービスのリストでそのサービスを見つけてください。

Secret Manager では、CMEK を使用して保存データを保護できます。

Cloud de Confiance コンソールで、[Secret Manager] ページに移動します。

Secret Manager に移動
シークレットを作成するには、[シークレットの作成] をクリックします。
[暗号化] セクションで、[顧客管理の暗号鍵（CMEK）を使用する] を選択します。
[暗号鍵] ボックスで、次の操作を行います。
1. 省略可: 別のプロジェクトで鍵を使用するには、次の操作を行います。
  1. [プロジェクトを切り替える] をクリックします。
  2. 検索バーにプロジェクト名のすべてまたは一部を入力し、プロジェクトを選択します。
  3. 選択したプロジェクトの使用可能な鍵を表示するには、[選択] をクリックします。
2. 省略可: ロケーション、キーリング、名前、保護レベルで使用可能な鍵をフィルタリングするには、フィルタバーに検索キーワードを入力します。
3. 選択したプロジェクトで使用可能な鍵のリストから鍵を選択します。表示されたロケーション、キーリング、保護レベルの詳細を使用すると、正しい鍵を確実に選択できます。
4. 使用する鍵がリストに表示されない場合は、[鍵を手動で入力] をクリックして、鍵のリソース ID を入力します。
シークレットの構成を完了し、[シークレットの作成] をクリックします。Secret Manager はシークレットを作成し、指定された CMEK 鍵を使用して暗号化します。

サポートされているサービスの CMEK を有効にする

CMEK を有効にするには、まず次の表で目的のサービスを見つけます。フィールドに検索キーワードを入力して、テーブルをフィルタできます。外部の Cloud EKM 鍵を使用するときに Cloud KMS と統合されるプロダクトは、[EKM 対応] 列に表示されます。

CMEK 鍵を有効にする各サービスの手順に沿って操作します。

サービス	CMEK での保護	EKM 対応	トピック
Artifact Registry	リポジトリ内のデータ	○	顧客管理の暗号鍵の有効化
BigQuery	BigQuery のデータ	○	Cloud KMS 鍵によるデータの保護
Cloud Logging	Logging ストレージ内のデータ	○	Logging のストレージデータを保護する鍵を管理します
Cloud SQL	データベースに書き込まれたデータ	○	顧客管理の暗号鍵の使用
Cloud Storage	ストレージバケット内のデータ	○	顧客管理の暗号鍵の使用
Compute Engine	スナップショット	○	Cloud KMS 鍵によるリソースの保護
Compute Engine	カスタムイメージ	○	Cloud KMS 鍵によるリソースの保護
Compute Engine	マシンイメージ	○	Cloud KMS 鍵によるリソースの保護
Pub/Sub	トピックに関連するデータ	○	メッセージ暗号化の構成