このページでは、リソース フォルダでの鍵の一元管理、またはプロジェクトでの鍵の委任管理(プレビュー)のために Cloud KMS Autokey を有効にして構成する方法について説明します。Autokey の詳細については、 Autokey の概要をご覧ください。このドキュメントは管理者を対象としています。
始める前に
フォルダ内のすべてのプロジェクト専用の鍵プロジェクトを使用して、鍵の一元管理に Cloud KMS Autokey を有効にするには、次のものが必要です。
Autokey を有効にするフォルダを含む組織のリソース。Autokey を有効にするフォルダがない場合は、新しいリソース フォルダを作成できます。このフォルダで Autokey を有効にすると、フォルダ内のすべてのリソース プロジェクトで Autokey が有効になります。
Autokey を使用して鍵の一元管理を行うリソース プロジェクトがあるが、Autokey を有効にするフォルダ内にない場合は、既存のリソース プロジェクトを新しいフォルダに移動できます。
プロジェクト(プレビュー)で Autokey を有効にして、 鍵の委任管理と同一プロジェクトの鍵を有効にするには、次のいずれかが必要です。
- Autokey を有効にする Google Cloud プロジェクト。
keyHandles.create権限が IAM 拒否ポリシーによってブロックされていないプロジェクト。 - Autokey を有効にする Google Cloud フォルダ。
権限が
IAM 拒否ポリシーによってブロックされていないプロジェクトが少なくとも 1 つ含まれているフォルダ。
keyHandles.create
必要なロール
Autokey を有効にして構成するために必要な権限を取得するには、フォルダ、プロジェクト、または親リソースで次の IAM ロールを付与するよう管理者に依頼してください。
-
Cloud KMS Autokey 管理者 (
roles/cloudkms.autokeyAdmin) -
Service Usage 管理者 (
roles/serviceusage.serviceUsageAdmin) -
Autokey の一元管理を有効にするには:
-
フォルダ IAM 管理者 (
roles/resourcemanager.folderIamAdmin) -
請求先アカウント ユーザー (
roles/billing.user)
-
フォルダ IAM 管理者 (
ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。
これらの事前定義ロールには Autokey を有効にして構成するために必要な権限が含まれています。必要とされる正確な権限については、「必要な権限」セクションを開いてご確認ください。
必要な権限
Autokey を有効にして構成するには、次の権限が必要です。
-
cloudkms.autokeyConfigs.* -
cloudkms.projects.showEffectiveAutokeyConfig -
serviceusage.services.enable -
Autokey の一元管理を有効にするには:
-
resourcemanager.folders.get -
resourcemanager.folders.getIamPolicy -
resourcemanager.folders.setIamPolicy -
billing.resourceAssociations.create
-
カスタムロールや他の事前定義ロールを使用して、これらの権限を取得することもできます。
Autokey を有効にする方法を指定する
Terraform を使用して必要な構成変更を行うことで、Infrastructure as Code 戦略の一環として Autokey を有効にできます。Terraform を使用して Autokey を有効にする場合は、このページの Terraform を使用して Autokey を有効にするをご覧ください。Terraform を使用しない場合は、まず次のセクションの手順に沿って操作してください。
鍵の一元管理用に Autokey を設定する
フォルダで鍵の一元管理に Autokey を使用する場合は、そのフォルダで Autokey によって作成されたすべての鍵を含む単一の鍵プロジェクトを選択する必要があります。鍵の委任管理 モデル(プレビュー)を使用している場合は、専用の鍵プロジェクトは必要ありません。 鍵の委任管理用に Autokey を有効にする から続けてください。
Autokey によって作成された Cloud KMS リソースを含む新しい鍵プロジェクトを作成することをおすすめします。鍵プロジェクトは組織のリソース内に作成する必要があります。Autokey によって作成された鍵に使用する鍵プロジェクトがすでにある場合は、鍵プロジェクトを作成するのセクションをスキップして、Autokey 鍵プロジェクトを構成するから続けてください。
鍵プロジェクトは、Autokey を有効にするフォルダと同じフォルダ内に作成できます。鍵プロジェクト内に他のリソースを作成しないでください。 鍵プロジェクトに Autokey で保護されたリソースを作成しようとすると、Autokey は新しい鍵のリクエストを拒否します。
今後 Assured Workloads に移行する可能性がある場合は、これらの鍵で保護されているリソースと同じフォルダ内に鍵プロジェクトを作成します。
組織で constraints/gcp.restrictCmekCryptoKeyProjects 組織のポリシー制約を使用して、すべての CMEK が指定された鍵プロジェクトからのものであることを確認する場合は、許可されたプロジェクトのリストに鍵プロジェクトを追加する必要があります。CMEK の組織のポリシーの詳細については、CMEK の組織のポリシーをご覧ください。
鍵プロジェクトを作成する
Console
- コンソールで [**リソースの管理**] ページに移動します。 Google Cloud
- [**組織を選択**] で、プロジェクトを作成する組織リソースを選択します。
- [プロジェクトの作成] をクリックします。
- 表示される [新しいプロジェクト] ウィンドウで、プロジェクト名を入力し、請求先アカウントを選択します。プロジェクト名には文字、数字、単一引用符、ハイフン、スペース、感嘆符のみを使用でき、4~30 文字にする必要があります。
- [**ロケーション**] で、 鍵プロジェクトの親にするリソースを選択します。
- プロジェクトの作成を完了するには、[作成] をクリックします。
gcloud
新しいプロジェクトを作成します。
gcloud projects create PROJECT_ID \ --PARENT_TYPE=PARENT_ID以下を置き換えます。
PROJECT_ID: キーリングを含むプロジェクトの ID。PARENT_TYPE: 新しい鍵プロジェクトを作成するリソースのタイプ。特定の組織の下に新しい鍵プロジェクトを作成するにはorganizationを入力し、特定のフォルダの下に新しい鍵プロジェクトを作成するにはfolderを入力します。PARENT_ID: 鍵プロジェクトを作成する組織またはフォルダの ID。
プロジェクトのリーエンを設定する
Cloud KMS プロジェクトを作成したら、誤って削除されないように、 リーエン(プレビュー) でプロジェクトを保護することをおすすめします。プロジェクトのリーエンが適用されると、リーエンが削除されるまで Cloud KMS プロジェクトを削除できなくなります。
Autokey 鍵プロジェクトを準備する
Console
鍵プロジェクトに対する Cloud KMS API を有効にします。
新しい鍵プロジェクトを使用している場合は、鍵プロジェクトに対する Cloud KMS 管理者権限を付与します。次の手順を繰り返して、自分自身と他の各 Cloud KMS 管理者ユーザーに Cloud KMS 管理者 ロールを付与します。
コンソールで、[IAM] ページに移動します。 Google Cloud
鍵プロジェクトを選択します。
[GrantAccess] をクリックし、ユーザーのメールアドレスを入力します。
[Cloud KMS 管理者] ロールを選択します。
[保存] をクリックします。
gcloud
鍵プロジェクトに対する Cloud KMS API を有効にします。
gcloud services enable cloudkms.googleapis.com鍵プロジェクトに対する Cloud KMS 管理者権限を付与します。 次のコマンドを繰り返して、自分自身と他の各 Cloud KMS 管理者ユーザーに
roles/cloudkms.adminロールを付与します。gcloud projects add-iam-policy-binding PROJECT_NUMBER \ --role=roles/cloudkms.admin \ --member=user:KEY_ADMIN_EMAIL以下を置き換えます。
PROJECT_NUMBER: 鍵プロジェクトのプロジェクト番号。KEY_ADMIN_EMAIL: Cloud KMS 鍵の管理を担当するユーザーのメールアドレス。
リソース フォルダで Cloud KMS Autokey を有効にする
Console
コンソールで、[KMS コントロール] ページに移動します。 Google Cloud
コンテキスト選択ツールから、Autokey を有効にするフォルダを選択します。
[有効にする] をクリックします。
鍵プロジェクトを選択し、[送信] をクリックします。
Cloud KMS Autokey がフォルダで有効であることを確認するメッセージが表示されます。
API
Autokey を有効にするフォルダの AutokeyConfig を作成します。
curl "https://cloudkms.googleapis.com/v1/folders/FOLDER_ID/autokeyConfig?updateMask=keyProject" \
--request "PATCH" \
--header "authorization: Bearer TOKEN" \
--header "content-type: application/json" \
--data '{"key_project": "projects/PROJECT_ID"}'
以下を置き換えます。
FOLDER_ID: Autokey を有効にするフォルダの ID。PROJECT_ID: 鍵プロジェクトの ID。
Cloud KMS サービス エージェントを設定する
鍵プロジェクトの Cloud KMS サービス エージェントは、リソースの作成時に、Cloud KMS 管理者に代わって鍵を作成し、IAM ポリシー バインディングを適用します。鍵を作成して割り当てるには、Cloud KMS サービス エージェントに Cloud KMS 管理者の権限が必要です。
Cloud KMS サービス エージェントを作成します。
gcloud beta services identity create --service=cloudkms.googleapis.com \ --project=PROJECT_NUMBERPROJECT_NUMBERは、鍵プロジェクトのプロジェクト番号に置き換えます。出力は次のようになります。
Service identity created: service-PROJECT_NUMBER@gcp-sa-ekms.iam.gserviceaccount.comコマンドの出力は、Cloud EKM サービス アカウント(
gcp-sa-ekmsサブドメイン付き)が作成されたことを示しています。ただし、このコマンドでは Cloud KMS サービス エージェント(gcp-sa-cloudkmsサブドメイン付き)も作成されます。これは 以降の手順で使用するサービス エージェントです。サービス エージェントに Cloud KMS 管理者権限を付与します。
gcloud projects add-iam-policy-binding PROJECT_NUMBER \ --role=roles/cloudkms.admin \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-cloudkms.iam.gserviceaccount.comPROJECT_NUMBERは、鍵プロジェクトのプロジェクト番号に置き換えます。
鍵の委任管理用に Autokey を有効にする
鍵の委任管理に Autokey を使用すると、Autokey は保護するリソースと同じプロジェクト内に鍵を作成します。Autokey による鍵の委任管理をサポートするプロジェクトは、鍵の一元管理に Autokey が有効になっているフォルダ内に存在できます。プロジェクトで Autokey が有効になっている場合、プロジェクト レベルの Autokey 構成は親フォルダの Autokey 構成よりも優先されます。
個々のプロジェクトで Autokey を有効にする手順は次のとおりです。
REST API を使用して、Autokey を有効にするプロジェクトの
AutokeyConfigを作成します。curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/autokeyConfig?updateMask=key_project_resolution_mode" \ --request "PATCH" \ --header "authorization: Bearer TOKEN" \ --header "content-type: application/json" \ --data '{"key_project_resolution_mode": "RESOURCE_PROJECT"}'PROJECT_IDは、Autokey を有効にするプロジェクトの ID に置き換えます。gcloud CLI で、プロジェクトに対する Cloud KMS API を有効にします。
gcloud services enable cloudkms.googleapis.com
フォルダ内のすべてのプロジェクトで Autokey を有効にする手順は次のとおりです。
REST API を使用して、鍵の委任管理に Autokey を使用するフォルダの
AutokeyConfigを作成します。curl "https://cloudkms.googleapis.com/v1/folders/FOLDER_ID/autokeyConfig?updateMask=key_project_resolution_mode" \ --request "PATCH" \ --header "authorization: Bearer TOKEN" \ --header "content-type: application/json" \ --data '{"key_project_resolution_mode": "RESOURCE_PROJECT"}'FOLDER_IDは、Autokey を有効にするフォルダの ID に置き換えます。このコマンドにより、フォルダ内のすべてのプロジェクトで同一プロジェクトの Autokey が有効になります。gcloud CLI で、鍵の委任管理に Autokey を使用する各プロジェクトで Cloud KMS API を有効にします。
gcloud services enable cloudkms.googleapis.com各プロジェクトで Cloud KMS API を一度に有効にすることも、必要に応じて個々のプロジェクトで API を有効にすることもできます。プロジェクトで Cloud KMS API が有効になるまで、デベロッパーはそのプロジェクトで Autokey を使用できません。
Terraform を使用して Autokey を有効にする
Terraform を使用した鍵の一元管理
次の Terraform サンプルでは、次の設定手順を自動化します。
- リソース フォルダを作成する
- 鍵プロジェクトを作成する
- ユーザー権限を付与する
- Cloud KMS サービス エージェントを設定する
- Autokey を有効にする
リソース フォルダ内にリソース プロジェクトを個別に作成する必要があります。
variable "organization_ID" {
description = "Your Google Cloud Org ID"
type = string
default = "ORGANIZATION_ID"
}
variable "billing_account" {
description = "Your Google Cloud Billing Account ID"
type = string
default = "BILLING_ACCOUNT_ID"
}
/* List the users who should have the authority to enable and configure
Autokey at a folder level */
variable "autokey_folder_admins" {
type = list(string)
default = [AUTOKEY_ADMIN_USER_IDS]
}
/* List the users who should have the authority to protect their resources
with Autokey */
variable "autokey_folder_users" {
type = list(string)
default = [AUTOKEY_DEVELOPER_USER_IDS]
}
/* List the users who should have the authority to manage crypto operations in
the Autokey key project */
variable "autokey_project_kms_admins" {
type = list(string)
default = [KEY_PROJECT_ADMIN_USER_IDS]
}
/* The project ID to use for the key project. The project ID must be 6 to 30
characters with lowercase letters, digits, hyphens. The project ID must start
with a letter. Trailing hyphens are prohibited */
variable "key_management_project_ID" {
description = "Sets the project ID for the Key Management Project. This project will contain the Key Rings and Keys generated by Cloud KMS Autokey"
type = string
default = "KEY_PROJECT_ID"
}
# Create a new folder
resource "google_folder" "autokey_folder" {
parent = "organizations/${var.organization_ID}"
display_name = "autokey_folder"
}
# Set permissions for key admins to use Autokey in this folder
resource "google_folder_iam_binding" "autokey_folder_admin" {
folder = google_folder.autokey_folder.name
role = "roles/cloudkms.autokeyAdmin"
members = var.autokey_folder_admins
}
# Set permissions for users to protect resources with Autokey in this folder
resource "google_folder_iam_binding" "autokey_folder_users" {
folder = google_folder.autokey_folder.name
role = "roles/cloudkms.autokeyUser"
members = var.autokey_folder_users
}
# Create a key project to store keys created by Autokey
resource "google_project" "key_management_project" {
project_id = var.key_management_project_ID
name = var.key_management_project_ID
billing_account = var.billing_account
folder_id = google_folder.autokey_folder.name
}
output "project_number" {
value = google_project.key_management_project.number
}
# Grant role for Cloud KMS admins to use Autokey in the key project
resource "google_project_iam_binding" "autokey_project_admin" {
project = google_project.key_management_project.project_id
role = "roles/cloudkms.admin"
members = var.autokey_project_kms_admins
depends_on = [ google_project.key_management_project ]
}
# Enable the Cloud KMS API in the key project
resource "google_project_service" "enable_api" {
service = "cloudkms.googleapis.com"
project = google_project.key_management_project.project_id
disable_on_destroy = false
disable_dependent_services = false
depends_on = [google_project.key_management_project]
}
# Create Cloud KMS service agent
resource "google_project_service_identity" "KMS_Service_Agent" {
provider = google-beta
service = "cloudkms.googleapis.com"
project = google_project.key_management_project.project_id
depends_on = [google_project.key_management_project]
}
/* Grant role for the Cloud KMS service agent to use delegated
Cloud KMS administrator permissions */
resource "google_project_iam_member" "autokey_project_admin" {
project = google_project.key_management_project.project_id
role = "roles/cloudkms.admin"
member = "serviceAccount:service-${google_project.key_management_project.number}@gcp-sa-cloudkms.iam.gserviceaccount.com"
}
/* Enable AutokeyConfig for centralized key management in this folder */
resource "google_kms_autokey_config" "autokey_config" {
provider = google-beta
folder = google_folder.autokey_folder.folder_id
key_project = "projects/${google_project.key_management_project.project_id}"
key_project_resolution_mode = "DEDICATED_KEY_PROJECT"
# For folder scope, valid values are: DEDICATED_KEY_PROJECT, RESOURCE_PROJECT, DISABLED
# With DEDICATED_KEY_PROJECT, define the key_project as well. With RESOURCE_PROJECT,
# omit key_project. Keys will be created in the same project as the protected resource.
}
以下を置き換えます。
BILLING_ACCOUNT_ID: 請求先 Google Cloud アカウント の ID。請求先アカウント ID は、ダッシュで区切られた 18 文字の英数字の値です(例:010101-F0FFF0-10XX01)。AUTOKEY_ADMIN_USER_IDS:roles/cloudkms.autokeyAdminロールを持つ必要があるユーザーのメールアドレスのリスト(例:"Ariel@example.com", "Charlie@example.com")。AUTOKEY_DEVELOPER_USER_IDS:roles/cloudkms.autokeyUserロールを持つ必要があるユーザーのメールアドレスのリスト(例:"Kalani@example.com", "Mahan@example.com")。KEY_PROJECT_ADMIN_USER_IDS:roles/cloudkms.adminロールを持つ必要があるユーザーのメールアドレスのリスト(例:"Sasha@example.com", "Nur@example.com")。KEY_PROJECT_ID: 専用の鍵プロジェクトに使用する ID(例:autokey-key-project)。鍵プロジェクトを指定する場合、key_project_resolution_modeはDEDICATED_KEY_PROJECTである必要があります。
Terraform を使用した鍵の委任管理
鍵の委任管理のためにフォルダ内のすべてのプロジェクトで Autokey を有効にするには、次のような folder_config
リソースを使用します。
/* Enable AutokeyConfig on a folder */
resource "google_kms_autokey_config" "folder_config" {
provider = google-beta
folder = google_folder.autokey_folder.name
key_project_resolution_mode = "RESOURCE_PROJECT"
# For folder scope, valid values are: DEDICATED_KEY_PROJECT, RESOURCE_PROJECT, DISABLED
# With DEDICATED_KEY_PROJECT, define the key_project as well. With RESOURCE_PROJECT,
# omit key_project. Keys will be created in the same project as the protected resource.
}
鍵の委任管理のために個々のプロジェクトで Autokey を有効にするには、次のような autokey_config_project
リソースを使用します。
/* To set autokey config for a project */
resource "google_kms_autokey_config" "autokey_config_project" {
provider = google-beta
project = "projects/${google_project.key_management_project.project_id}"
key_project_resolution_mode = "RESOURCE_PROJECT"
# For project scope, valid values are: RESOURCE_PROJECT, DISABLED
}
Autokey の使用を適用する
フォルダ内で Autokey の使用を強制する場合、IAM アクセス制御と CMEK の組織のポリシーを組み合わせることで実現できます。これを行うには、Cloud KMS サービス エージェント以外のプリンシパルから鍵の作成権限を削除し、Autokey 鍵プロジェクトを使用して、すべてのリソースが CMEK で保護されるようにする必要があります。
フォルダ内で Autokey の使用を適用するには、次の手順に沿って操作します。
鍵プロジェクトで鍵を手動で作成するアクセス権を削除します。鍵を手動で作成できない場合、このプロジェクトで作成できるのは Autokey によって作成された鍵のみです。アクセス制御の詳細については、 IAM によるアクセス制御をご覧ください。
フォルダに組織のポリシーを設定して、
constraints/gcp.restrictNonCmekServices制約を使用して CMEK でリソースが保護されるようにする必要があります。詳細については、 CMEK 保護を必須にするをご覧ください。フォルダで組織のポリシーを設定し、CMEK に使用する鍵が
constraints/gcp.restrictCmekCryptoKeyProjects制約を使用した Autokey 鍵プロジェクトの鍵になるようにする必要があります。詳細については、CMEK での Cloud KMS 鍵の使用を制限するをご覧ください。
Autokey を無効にする
Cloud KMS Autokey は、フォルダレベルで有効と無効にされます。フォルダで Autokey を有効にできるロールは、そのフォルダで Autokey を無効にできます。フォルダで Autokey を無効にするには、AutokeyConfig をクリアして、フォルダと Autokey 鍵プロジェクト間の関連付けを削除する必要があります。
フォルダの Autokey 構成が削除されると、デベロッパーがフォルダにリソースを作成するときに、Cloud KMS サービス
エージェントが鍵を作成できなくなります。フォルダと鍵プロジェクトのリンクを削除すると、フォルダ内の Autokey
が無効になります。ただし、roles/cloudkms.autokeyAdmin ロールと roles/cloudkms.autokeyUser
ロールの IAM バインディングも削除することをおすすめします。
Autokey を無効にしても、鍵プロジェクトの既存の鍵には影響しません。これらの鍵を引き続き使用してリソースを保護できます。
AutokeyConfig をクリア
Console
コンソールで、[KMS コントロール] ページに移動します。 Google Cloud
コンテキスト選択ツールから、Autokey を無効にするフォルダを選択します。
[無効にする] をクリックします。
Autokey を無効にすることを確認するメッセージが表示されます。
Autokey を無効にするには、[確定] をクリックします。
Cloud KMS Autokey がフォルダで無効であることを確認するメッセージが表示されます。
API
Autokey を無効にするフォルダの AutokeyConfig をクリアします。
curl "https://cloudkms.googleapis.com/v1/folders/FOLDER_ID/autokeyConfig?updateMask=keyProject" \
--request "PATCH" \
--header "authorization: Bearer TOKEN" \
--header "content-type: application/json" \
--data '{}'
以下を置き換えます。
FOLDER_ID: Autokey を無効にするフォルダの ID。
Autokey ロールを取り消す
省略可:
roles/cloudkms.autokeyAdminロールを取り消します。gcloud resource-manager folders remove-iam-policy-binding \ FOLDER_ID --role=roles/cloudkms.autokeyAdmin \ --member=user:USER_EMAIL以下を置き換えます。
FOLDER_ID: Autokey を無効にしたフォルダの ID。USER_EMAIL: Autokey を管理する権限を取り消すユーザーのメールアドレス。
省略可: フォルダレベルで
roles/cloudkms.autokeyUserロールを取り消します。gcloud resource-manager folders remove-iam-policy-binding \ FOLDER_ID --role=roles/cloudkms.autokeyUser \ --member=user:USER_EMAIL以下を置き換えます。
FOLDER_ID: Autokey を無効にしたフォルダの ID。USER_EMAIL: Autokey の使用権限を取り消すユーザーのメールアドレス。
省略可: プロジェクト レベルで
roles/cloudkms.autokeyUserロールを取り消します。gcloud projects remove-iam-policy-binding RESOURCE_PROJECT_NUMBER \ --role=roles/cloudkms.autokeyUser \ --member=user:USER_EMAIL以下を置き換えます。
RESOURCE_PROJECT_NUMBER: Autokey を無効にしたフォルダ内のリソース プロジェクトのプロジェクト番号。USER_EMAIL: Autokey の使用権限を取り消すユーザーのメールアドレス。
省略可: 他のフォルダの Autokey に鍵プロジェクトを引き続き使用する予定がない場合は、Cloud KMS サービス エージェントの
roles/cloudkms.adminロールを取り消します。gcloud projects remove-iam-policy-binding KEY_PROJECT_NUMBER \ --role=roles/cloudkms.admin \ --member=serviceAccount:service-KEY_PROJECT_NUMBER@gcp-sa-cloudkms.iam.gserviceaccount.comKEY_PROJECT_NUMBERは、鍵プロジェクトの数値 ID に置き換えます。省略可: 鍵プロジェクト内で作成された鍵を引き続き使用する予定がない場合は、Cloud KMS 管理者の
roles/cloudkms.adminロールを取り消します。gcloud projects remove-iam-policy-binding KEY_PROJECT_NUMBER \ --role=roles/cloudkms.admin \ --member=user:KEY_ADMIN_EMAIL以下を置き換えます。
KEY_PROJECT_NUMBER: 鍵プロジェクトのプロジェクト番号。USER_EMAIL: Autokey の使用権限を取り消すユーザーのメールアドレス。
次のステップ
- 詳しくは、Autokey を使用するタイミングをご覧ください。
- 詳しくは、Autokey の仕組みをご覧ください。
- Autokey デベロッパーは、Autokey を使用して保護されるリソースを作成できるようになりました。