Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Google SecOps の CMEK

以下でサポートされています。

Google SecOps

このドキュメントでは、Google Security Operations 用に顧客管理の暗号鍵（CMEK）を構成する方法について説明します。Google SecOps はデフォルトで、Google のデフォルトの暗号化を使用して顧客データを保存時に暗号化します。お客様が追加で操作を行う必要はありません。ただし、暗号鍵をより細かく制御する場合や、組織によって義務付けられている場合は、Google SecOps インスタンスで CMEK を使用できます。

CMEK は、お客様が所有、管理し、Cloud Key Management Service に保存する暗号鍵です。CMEK を使用すると、ライフサイクル、ローテーション、アクセスポリシーの管理など、暗号鍵を完全に制御できます。CMEK を構成すると、指定した鍵を使用してすべてのデータが自動的に暗号化されます。CMEK の詳細を学習する。

CMEK は、Google SecOps がサポートされているすべてのリージョンで使用できます。Google SecOps でサポートされているリージョンの完全なリストについては、SecOps サービスロケーションページをご覧ください。

Cloud KMS で CMEK を使用する

暗号鍵を制御するには、Google SecOps などの CMEK 統合サービスで Cloud KMS の CMEK を使用します。

これらの鍵は Cloud KMS で管理、保存します。
Google SecOps Data Lake のデータは保存時に暗号化されます。
CMEK を使用して Google SecOps インスタンスを構成すると、選択した Cloud KMS 鍵を使用して Data Lake 内の保存データが暗号化されます。
Cloud KMS で CMEK を使用すると、使用パターンに応じて追加費用が発生する場合があります。

Cloud KMS の料金の詳細を確認する。

CMEK を有効にする

次の手順では、Google SecOps で CMEK をオンボーディングするプロセスの概要を説明します。

Google SecOps 用にプロジェクトを構成する Google Cloud : プロビジョニングの招待を承諾して開始します。専門的な構成と統合は、Google SecOps の専門チームが対応します。
Cloud KMS 鍵を、インスタンスをホストする予定のリージョンに作成します。
新しい Google SecOps インスタンスを作成し、ステップ 2 で作成した CMEK 鍵を選択します。インスタンスの作成時に、この鍵への Google SecOps のアクセス権を付与するよう求められます。
省略可: 鍵ごとに鍵のローテーションをスケジュールします。鍵の漏洩による影響を最小限に抑えるため、このセキュリティ対策をおすすめします。

オンボーディングが完了すると、そのインスタンスの API または UI を使用して鍵を指定する必要はありません。

鍵管理

Cloud KMS を使用して鍵を管理することをおすすめします。Cloud KMS によって伝播されるまで、Google SecOps が鍵の変更を検出したり操作したりすることはできません。

Google SecOps は、次の 2 種類の鍵管理をサポートしています。

Cloud KMS 鍵を作成する: Google が推奨する方法です。
Cloud External Key Manager（Cloud EKM）を使用する（Cloud EKM）: Cloud EKM 鍵を使用すると、外部システムへの依存により可用性に影響する可能性があります。

鍵のローテーション

通常、権限の変更は迅速に行われますが、鍵のローテーションでは、ローテーションを開始してから 2 週間経過するまで、古い鍵を削除または無効にすることはできません。Cloud KMS と Cloud KMS サービスレベル目標の詳細を確認する。

鍵の無効化

現在の CMEK 鍵を無効にすると、Google SecOps はデータにアクセスできなくなり、データを処理できなくなります。つまり、Google SecOps は既存のデータの読み取り、書き込み、更新を行うことができず、新しいデータを取り込んだり、保存したり、処理したりすることもできません。鍵を再度有効にしないと、データは 30 日後に削除されます。鍵を再度有効にすると、Google SecOps は新しいデータの取り込みと処理を自動的に開始します。ただし、システムがこれらのオペレーションを完全に再開するまでに最大 2 週間かかることがあります。

CMEK の組織のポリシーの制約

Google SecOps で CMEK の使用を適用するには、次の組織ポリシーの制約を組織レベル、フォルダレベル、またはプロジェクトレベルで適用します。

constraints/gcp.restrictNonCmekServices: サービスで CMEK を使用する必要があります。組織に constraints/gcp.restrictNonCmekServices を適用し、制限付きサービスとして Google SecOps を指定する場合は、Google SecOps インスタンスの作成時に CMEK 鍵を選択する必要があります。

**重要:** 制限付きサービスとして Google SecOps を使用してこの制約を適用しても、インスタンスの作成時に CMEK を指定しない場合、 Google SecOps はプロビジョニングされません。
constraints/gcp.restrictCmekCryptoKeyProjects: Google SecOps の CMEK 鍵が特定のプロジェクトまたはプロジェクトのセットから取得されるようにします。

Google SecOps インスタンスを含む組織に両方の制約を適用する場合は、組織のポリシーの適用時に指定したプロジェクトの鍵を使用して CMEK を有効にする必要があります。

リソース階層（組織、フォルダ、プロジェクト）全体で組織のポリシーがどのように評価されるかについては、 Google Cloud 階層評価についてをご覧ください。

CMEK の組織のポリシーの使用に関する一般的な情報については、 CMEK の組織のポリシーをご覧ください。

さらにサポートが必要な場合コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。