デフォルトでは、データポータルはお客様のコンテンツを 保存時に暗号化します。データポータルは、お客様が追加の操作を行うことなく暗号化を処理します。このオプションは、Google のデフォルトの暗号化と呼ばれます。
暗号鍵を管理する場合は、データポータルなどの CMEK 統合サービスでCloud KMSの顧客管理の暗号鍵(CMEK)を使用できます。Cloud KMS 鍵を使用すると、保護 レベル、ロケーション、ローテーション スケジュール、使用とアクセスの権限、暗号境界を制御できます。 Cloud KMS を使用すると、監査ログを表示し、鍵のライフサイクルを管理することもできます。データを保護する対称鍵暗号鍵(KEK)は Google が所有して管理するのではなく、ユーザーが Cloud KMS でこれらの鍵の制御と管理を行います。
CMEK を使用してリソースを設定した後は、 データポータル リソースへのアクセスは、Google のデフォルトの暗号化を使用する場合と同様です。 暗号化 オプションの詳細については、顧客管理の暗号鍵(CMEK)をご覧ください。
CMEK を使用すると、独自の暗号鍵を使用して、保存されているデータポータル Pro データを暗号化できます。 CMEK を使用すると、データをより詳細に制御し、内部または外部のコンプライアンス規制に準拠できます。
CMEK と顧客管理のストレージ
CMEK を有効にする場合は、データポータル Pro の 顧客管理のストレージ オプションも有効にする必要があります。このオプションを使用すると、Cloud Storage と BigQuery を使用して、データポータル Pro Google Cloud プロジェクトにデータを保存できます。データポータル Pro は、Cloud Key Management Service 鍵を使用して、レポートやデータソース構成、スケジュール設定されたメールなどのリソースを保護します。 プロジェクトに保存されているデータ抽出とファイルアップロードについては、ストレージ リソースに CMEK を適用することでデータを保護できます。 Google Cloud Google Cloud
始める前に
CMEK を有効にして使用するには、次の前提条件を満たす必要があります。
- CMEK を有効にできるのは、新しいデータポータル Pro サブスクリプションを作成する場合のみです。
- CMEK を有効にするには、顧客管理のストレージを有効にして構成する必要があります 。顧客管理のストレージでは、 データ抽出とファイル アップロードの保存に使用するデータポータル Pro 用の Cloud Storage バケットと BigQuery データセットを Google Cloud プロジェクト内に用意する必要があります。これらのリソースに保存されているデータを保護するには、CMEK 構成を適用します。
- CMEK を有効にするには、 データ ロケーションを有効にして構成する必要があります。
- CMEK に使用する対称暗号鍵が Cloud KMS に必要です。この鍵は、データ ロケーションに選択したリージョンと同じリージョンに存在する必要があります。
- Cloud KMS で鍵を作成するために必要な IAM ロールが必要です。詳細については、 必要なロールをご覧ください。
サブスクリプションの CMEK を有効にする
CMEK を有効にできるのは、新しいデータポータル Pro サブスクリプションを作成する場合のみです。既存の Pro サブスクリプションで CMEK を有効にすることはできません。
CMEK を有効にするには、新しいデータポータル Pro サブスクリプションを作成するときに次の手順を行います。
- プロンプトが表示されたら、[顧客管理の暗号鍵を使用する] を選択します。
- [鍵のリソース名] フィールドに、鍵のリソース名を入力または貼り付けます。
- ユーザー インターフェースに表示されるデータポータル Pro サービス アカウントに、Cloud KMS の Cloud KMS CryptoKey Encrypter/Decrypter ロールを付与します。
- [次へ] をクリックして、サブスクリプションの設定を続行します。
CMEK で暗号化されるもの
データポータル Pro サブスクリプションで CMEK を有効にすると、顧客コンテンツの暗号化は次の 2 つの方法で処理されます。
- Cloud KMS 鍵を使用してデータポータル Pro で暗号化されたデータ: データポータル Pro は、指定された鍵を使用して、レポートやデータソース構成、スケジュール設定されたメールなどのデータを暗号化します。
- プロジェクトに保存されているデータ: CMEK を有効にするには、
顧客管理のストレージを使用する必要があります。 Google Cloud 次のデータ型は、ユーザーが指定した Cloud Storage リソースと BigQuery リソースに保存されます。
- データ抽出
- CSV ファイルと Excel ファイルのアップロード これらのリソースは、Cloud Storage と BigQuery で適用する CMEK 構成を使用して暗号化されます。サブスクリプションで CMEK を有効にしても、データポータル Pro はこれらのリソースに CMEK を自動的に適用しません。
鍵管理
セキュリティ管理者またはコンプライアンス管理者は、Cloud KMS を使用して鍵管理タスクを実行できます。データポータル Pro は、すべての暗号化と復号のオペレーションで Cloud KMS を呼び出します。
次の鍵管理タスクを実行できます。
- 鍵の取り消し: 鍵へのデータポータル Pro のアクセスを取り消して、データをすぐに使用できなくすることができます。
- 監査: Cloud KMS で鍵アクセスログを調べて、鍵を使用してデータの暗号化または復号が行われたすべてのオペレーションを監査できます。
鍵のローテーション
鍵をローテーションすると、Cloud KMS は新しいアセットの暗号化に使用される鍵の新しいバージョンを作成します。既存のアセットは再暗号化されず、暗号化された鍵バージョンによって保護されます。 データポータル Pro は、新しい鍵バージョンで既存のアセットを再暗号化することをサポートしていません。
以前の鍵バージョンで暗号化された既存のアセットにアクセスするには、以前の鍵バージョンが引き続き必要になるため、これらのアセットへのアクセスを完全に削除する場合を除き、以前の鍵バージョンを削除または無効にしないでください。データを保護している鍵バージョンを削除または無効にすると、そのデータにアクセスできなくなります。
CMEK 鍵が使用できなくなった場合(鍵を無効にするか削除した場合など)、データポータル Pro は、暗号化されたデータを使用するレポートやデータソースを表示する代わりに、エラー メッセージを返します。メモリに保持されているデータは、無効な鍵が検出されてから 15 分以内に削除されます。データポータルのホームページには顧客コンテンツが含まれていないため、引き続きアクセスできます。
Cloud KMS の割り当てとデータポータル
データポータルで CMEK を使用する場合は、プロジェクトで Cloud KMS 暗号リクエストの割り当てを使用できます。データポータル Pro が鍵を使用してデータを暗号化または復号するたびに、そのオペレーションはプロジェクトの割り当てにカウントされます。
CMEK 鍵を使用する暗号化と復号のオペレーションは、次のように Cloud KMS の割り当てに影響します。
- Cloud KMS で生成されたソフトウェア CMEK 鍵の場合、Cloud KMS の割り当ては消費されません。
- ハードウェア CMEK 鍵(Cloud HSM 鍵とも呼ばれる)の場合、暗号化と復号のオペレーションは、その鍵が含まれるプロジェクトの Cloud HSM の割り当てにカウントされます。
- 外部 CMEK 鍵(Cloud EKM 鍵とも呼ばれる)の場合、暗号化と復号のオペレーションは、その鍵が含まれるプロジェクトの Cloud EKM の割り当てにカウントされます。
詳細については、 Cloud KMS の割り当てをご覧ください。
CMEK の制限事項
CMEK には次の制限があります。
- CMEK を有効にできるのは、新しいデータポータル Pro サブスクリプションを作成する場合のみです。既存のサブスクリプションで CMEK を有効または無効にすることはできません。
- CMEK 対応プロジェクトからコンテンツを移動できるのは、アクティブなデータポータル Pro サブスクリプションを持つ別のプロジェクトのみです。
- データポータル Pro からデータポータルの無料バージョンにダウングレードした場合、またはサブスクリプションがキャンセルされた場合、CMEK 機能は 30 日間の猶予期間中も引き続き機能します。その後、CMEK を使用して作成されたデータソースは削除されます。
- データポータル Pro からデータポータルの無料バージョンにダウングレードした場合、またはサブスクリプションがキャンセルされた場合は、同じ Google Cloud プロジェクトを再利用して新しいデータポータル Pro サブスクリプションを作成するまでに 30 日間待つ必要があります。