ナビゲーション構造を再編成し、運用ワークフローに直接対応するようにしました。詳細については、Google SecOps リリースノートをご覧ください。

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

CMEK を構成する

以下でサポートされています。

Google SecOps

このドキュメントでは、Google Security Operations 用に顧客管理の暗号鍵（CMEK）を構成する方法について説明します。Google SecOps は、お客様が追加で操作を行うことなく、Google のデフォルトの暗号化を使用して、保存時の顧客データをデフォルトで暗号化します。ただし、暗号鍵をより細かく制御する場合や、組織で義務付けられている場合は、Google SecOps インスタンスで CMEK を使用できます。

CMEK は、ユーザーが所有、管理し、Cloud Key Management Service に保存する暗号鍵です。CMEK を使用すると、暗号鍵のライフサイクル、ローテーション、アクセスポリシーの管理など、暗号鍵を完全に制御できます。CMEK を構成すると、サービスは指定された鍵を使用してすべてのデータを自動的に暗号化します。CMEK の詳細を確認する。

CMEK は、Google SecOps がサポートされているすべてのリージョンで使用できます。Google SecOps でサポートされているリージョンの完全なリストについては、SecOps サービスロケーションページをご覧ください。

Cloud KMS で CMEK を使用する

暗号鍵を制御するには、次のように、Cloud KMS の CMEK を CMEK 統合サービス（Google SecOps など）で使用します。

これらの鍵は Cloud KMS で管理および保存します。
Google SecOps Data Lake のデータは保存時に暗号化されます。
CMEK を使用して Google SecOps インスタンスを構成すると、選択した Cloud KMS 鍵を使用して、データレイク内の保存データが暗号化されます。
Cloud KMS で CMEK を使用すると、使用パターンによっては追加費用が発生する場合があります。

Cloud KMS の料金の詳細を確認する。

CMEK を有効にする

次の手順は、Google SecOps で CMEK をオンボーディングするプロセスの概要を示しています。

Google SecOps 用に Google Cloud プロジェクトを構成する: プロビジョニングの招待を承諾して開始します。専門的な構成と統合は、Google SecOps チームが担当します。
インスタンスをホストする予定のリージョンに Cloud KMS 鍵を作成します。
新しい Google SecOps インスタンスを作成し、ステップ 2 で作成した CMEK 鍵を選択します。インスタンスの作成時に、この鍵へのアクセス権を Google SecOps に付与するよう求められます。
省略可: 鍵ごとに鍵のローテーションのスケジュールを設定します。Google は、キーの不正使用による影響を最小限に抑えるために、このセキュリティ対策を推奨しています。

オンボーディングが完了すると、そのインスタンスの API または UI を使用してキーを指定する必要がなくなります。

鍵管理

Google では、Cloud KMS を使用して鍵を管理することをおすすめします。Cloud KMS によって伝播されるまで、Google SecOps は鍵の変更を検出したり操作したりできません。

Google SecOps は、次の 2 種類の鍵管理をサポートしています。

Cloud KMS 鍵を作成する: Google が推奨する方法です。
Cloud External Key Manager（Cloud EKM）を使用する: Cloud EKM 鍵を使用すると、外部システムに依存するため、可用性に影響する可能性があります。

鍵のローテーションを管理する

鍵を削除する前に、次のように破棄する必要があります。

鍵または鍵バージョンを無効にします。通常、この手順は省略可能ですが、一部の組織のポリシーでは、破棄する前に鍵を無効にする必要があります。
鍵バージョンを破棄します。
キーを削除します。

データアクセスと永続的なデータ損失

データ損失を防ぐために、ログをモニタリングして、使用できなくなった鍵を検出することをおすすめします。

Google SecOps がデータへのアクセス権を失うと、データは 30 日後に削除されます。

Google SecOps は、ユーザーの意図的な操作（キーの取り消しなど）または意図しない操作（EKM 接続の切断など）により、データへのアクセス権を失う可能性があります。つまり、Google SecOps は既存のデータの読み取り、書き込み、更新を行うことができず、新しいデータの取り込み、保存、処理を行うこともできません。

Google SecOps がデータへのアクセス権を回復すると（鍵を再度有効にした場合など）、Google SecOps は新しいデータの取り込みと処理を自動的に開始します。ただし、システムがこれらのオペレーションを完全に再開するまでに最長で 2 週間ほどかかることがあります。

CMEK 組織のポリシーの制約

Google SecOps で CMEK の使用を適用するには、次の組織ポリシーの制約を組織レベル、フォルダレベル、またはプロジェクトレベルで適用します。

constraints/gcp.restrictNonCmekServices: サービスで CMEK を使用する必要があります。組織で constraints/gcp.restrictNonCmekServices を適用し、制限付きサービスとして Google SecOps を指定している場合は、Google SecOps インスタンスを作成するときに CMEK 鍵を選択する必要があります。

重要: Google SecOps を制限付きサービスとしてこの制約を適用し、インスタンスの作成時に CMEK を指定しないと、Google SecOps はプロビジョニングされません。
constraints/gcp.restrictCmekCryptoKeyProjects: Google SecOps の CMEK 鍵が特定のプロジェクトまたはプロジェクトのセットから取得されるようにします。

Google SecOps インスタンスを含む組織に両方の制約を適用する場合は、組織のポリシーを適用するときに指定するプロジェクトの鍵を使用して CMEK を有効にする必要があります。

Google Cloud リソース階層（組織、フォルダ、プロジェクト）全体で組織のポリシーがどのように評価されるかについては、階層評価についてをご覧ください。

CMEK の組織のポリシーの使用に関する一般的な情報については、CMEK の組織のポリシーをご覧ください。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。