CMEK 鍵のローテーション

顧客管理の暗号鍵(CMEK)を使用すると、サポートされている Google Cloud サービスのデータを、 Cloud KMS で管理する暗号鍵を使用して保護できます。鍵の自動ローテーションをスケジュールに基づいて構成することも、鍵を手動でローテーションすることもできます。このドキュメントでは、基盤となる Cloud KMS 鍵がローテーションされたときに、CMEK 統合サービスで何が起こるかについて説明します。

CMEK での鍵のローテーションの仕組み

Cloud KMS で鍵をローテーションすると、Cloud KMS はその鍵の新しいバージョンを作成します。新しい鍵バージョンがプライマリ バージョンになり、データを保護するデータ暗号鍵(DEK)の暗号化に使用できます。以前の鍵バージョンは有効な状態に保たれ、それらで暗号化された DEK の復号に使用できます。このプロセスにより、古いデータに常にアクセスできるようになります。

CMEK 統合サービスによって鍵のローテーションの処理は異なりますが、主に次の 3 つのパターンがあります。

  • 新しい鍵バージョンがすべてのデータを保護する: サービスは、新しい 鍵バージョンがプライマリになったことを検出すると、以前の鍵バージョンで暗号化された DEK を自動的に再暗号化します。新しいデータと既存のデータの両方を保護する DEK は、現在のプライマリ鍵バージョンで暗号化されます。既存の DEK の再暗号化には時間がかかる場合がありますが、完了すると以前の鍵バージョンは使用されなくなります。
  • 新しい鍵バージョンが今後使用される: サービスは、 新しい鍵バージョンがプライマリになったことを検出すると、以降の暗号化リクエストで 新しい鍵バージョンを使用します。このリソースのデータを保護する DEK は、現在の鍵バージョンと以前の鍵バージョンが混在しています。
  • 新しい鍵バージョンは使用されない: サービスは、新しいプライマリ鍵バージョンが存在するかどうかに関係なく、リソースの作成時に構成された元の鍵バージョンで DEK を暗号化し続けます。

鍵のローテーション後のサービス固有の動作

次の表に、CMEK で保護できるリソースのサービス固有のローテーション動作を示します。 次の表に、各リソースタイプまたはリソースタイプのセットのローテーションの詳細を示します。

  • 鍵を継承できる: リソースが親 リソースから鍵を継承できるかどうか。
  • 一意の鍵を使用できる: リソースが親リソースから継承されたものではなく、独自の一意の鍵を使用できるかどうか。
  • 鍵を変更できる: リソースの更新時に、リソースを保護する新しい CMEK を選択できるかどうか。
  • 新しいデータ: 新しい DEK が、プライマリ鍵バージョンで暗号化されるか、 リソースに CMEK が構成されたときにプライマリだった 元の鍵バージョンで暗号化されるか。
  • 既存のデータ: 既存の DEK がプライマリ 鍵バージョンで再暗号化されるか、リソースに CMEK が構成されたときに プライマリだった元の鍵バージョンで暗号化されたままになるか。
フィルタ条件:

サービスとリソース 鍵を継承できる 一意の鍵を使用できる 鍵を変更できる 新しいデータ 既存のデータ

Application Integration

  • integrations.googleapis.com/IntegrationVersion
  • integrations.googleapis.com/AuthConfig
  • integrations.googleapis.com/Execution
  • integrations.googleapis.com/Suspension
  • integrations.googleapis.com/TestCase
  • integrations.googleapis.com/Template
 いいえ はい はい 新しいプライマリ鍵バージョンを使用する 元の鍵バージョンを使用する

Cloud Storage

  • storage.googleapis.com/Bucket
 いいえ はい はい 新しいプライマリ鍵バージョンを使用する 新しいプライマリ鍵バージョンを使用する

Cloud Storage

  • storage.googleapis.com/Object
 はい はい いいえ 該当なし: このリソースは不変です。 元の鍵バージョンを使用する

カスタマー エクスペリエンスのインサイト

  • contactcenterinsights.googleapis.com/*
 はい いいえ いいえ 不明 不明

Filestore

  • file.googleapis.com/instance
  • file.googleapis.com/backup
 いいえ はい いいえ 新しいプライマリ鍵バージョンを使用する 元の鍵バージョンを使用する

Firestore

  • firestore.googleapis.com/Database
  • datastore.googleapis.com/Database
 いいえ はい いいえ 新しいプライマリ鍵バージョンを使用する 新しいプライマリ鍵バージョンを使用する

Gemini Code Assist

  • cloudaicompanion.googleapis.com/CodeRepositoryIndex
 いいえ はい いいえ 元の鍵バージョンを使用する 元の鍵バージョンを使用する

Pub/Sub

  • pubsub.googleapis.com/Topic
 いいえ はい はい 新しいプライマリ鍵バージョンを使用する 元の鍵バージョンを使用する

Speech-to-Text

  • speech.googleapis.com/Config
 いいえ はい はい 新しいプライマリ鍵バージョンを使用する 元の鍵バージョンを使用する

Speech-to-Text

  • speech.googleapis.com/CustomClass
  • speech.googleapis.com/Endpoint
  • speech.googleapis.com/Model
  • speech.googleapis.com/PhraseSet
  • speech.googleapis.com/Recognizer
 はい いいえ はい 新しいプライマリ鍵バージョンを使用する 元の鍵バージョンを使用する

次のステップ