Key Management System(KMS)サービスは、暗号鍵を一元管理し、Management API サーバーで実行されます。
このページは、Google Distributed Cloud(GDC)エアギャップ内の暗号鍵の管理と使用を担当する IT 管理者やセキュリティ エンジニアなど、プラットフォーム管理者グループ内のユーザーを対象としています。詳細については、GDC エアギャップ環境のユーザー向けドキュメントをご覧ください。
サポートされているキー
KMS は、データプレーン オペレーションで次の鍵をサポートしています。
| Key プリミティブ | キー プリミティブ(API) | 説明 | デフォルトのアルゴリズム |
|---|---|---|---|
AEAD |
aeadkey |
AES-256 を使用して認証付き暗号化を行う、関連データ(AEAD)付き認証付き暗号化鍵。鍵のコンポーネントは次のものを表します。
|
AES_256_GCM |
Signing |
signingkey |
楕円曲線サポートを使用して非対称署名を提供する署名鍵。 鍵のコンポーネントは次のものを表します。
|
EC_SIGN_P384_SHA384 |
ルートキーの種類
KMS は、内部でルート鍵を使用して、鍵マテリアルをディスクに書き込む前に暗号化し、ディスクから読み取るときに復号します。KMS は、オペレーションごとにルート鍵を取得します。
KMS は、組織ごとに 1 つのルート鍵をサポートしています。このルート鍵は、KMS のデプロイ時に自動的に作成されます。ルートキーは、ルート以外のすべてのキーをラップします。各キーの RootKeyID フィールドを使用して、ルートキーを識別します。
ルートキーが漏洩した場合や定期的なローテーションを行う場合は、ルートキーをローテーションできます。このプロセスでは、古いルートキーが新しいルートキーに置き換えられ、新しいルートキーがプライマリ キーになり、ルート以外のすべてのキーがラップされます。
| ルートキーのタイプ | ルートキーのタイプ(API) | 説明 |
|---|---|---|
Local Root (default) |
kms.gdc.goog/local-root |
ルートキーの暗号マテリアルは、Kubernetes Secret として Management API サーバーに保存されます。 |