Cloud KMS について
Cloud KMS とは何ですか?これで何ができますか?
Cloud Key Management Service(Cloud KMS)はクラウドでホスティングされる鍵管理サービスです。このサービスを利用することで、オンプレミス型と同じ方法でクラウド サービスの暗号化を管理できます。また、暗号鍵の生成、使用、ローテーション、破棄を行うことができます。Cloud KMS は Identity and Access Management(IAM)と Cloud Audit Logs に統合されているため、個別鍵の権限を管理し、使用状況をモニタリングできます。
シークレットを保管することはできますか?
Cloud KMS は鍵と鍵に関するメタデータを保存します。一般的なデータ ストレージ API はありません。Secret Manager は、 Google Cloudで使用する機密データの保存とアクセスで推奨されます。
サービスレベル契約(SLA)はあるか。
あります。Cloud KMS サービスレベル契約をご覧ください。
プロダクトのフィードバックを提供するにはどうすればよいですか?
エンジニアリング チーム cloudkms-feedback@google.com までお問い合わせください。
ドキュメントのフィードバックを提供するにはどうすればよいですか?
Cloud KMS のドキュメントを表示中に、ページの右上付近にある [フィードバックを送信] をクリックしてください。フィードバック フォームが開きます。
サポートが必要な場合はどうすればよいですか?
Google では、Stack Overflow に質問を投稿することをおすすめしています。Stack Overflow コミュニティは活発であり、Google チームは積極的に Stack Overflow への投稿をモニタリングし、google-cloud-kms のタグが付いた質問に回答しています。
Google では、お客様のニーズに応じてさまざまなレベルのサポートをご用意しています。その他のサポート オプションについては、Google Cloud サポート パッケージをご覧ください。
Cloud KMS には割り当てが設定されていますか?
はい。割り当ての表示や追加のリクエストなどの詳細については、Cloud KMS の割り当てをご覧ください。
鍵、キーリング、鍵バージョンの数に制限はありません。また、キーリングごとの鍵の数と鍵ごとの鍵バージョンにも制限はありません。
どの国で Cloud KMS を使用できますか?
Google Cloud サービスがサポートされている国であれば、Cloud KMS を使用できます。
キー
鍵のローテーションによってデータが再暗号化されますか?されない場合、それはなぜですか?
鍵のローテーションによって、自動的にデータが再暗号化されることはありません。ユーザーがデータを復号する際、Cloud KMS では復号に使用する鍵バージョンを把握しています。鍵バージョンが無効でなく、破棄もされていない限り、Cloud KMS はその鍵で保護されたデータを復号できます。
鍵と鍵リングを削除できないのはなぜですか?
リソース名の競合を防ぐため、キーリングと鍵のリソースは削除できません。鍵バージョンも削除できませんが、鍵バージョン マテリアルを破棄することによって、リソースは使用できなくなります。詳細については、オブジェクトの存続期間をご覧ください。課金は、アクティブな鍵バージョンの数に基づいて行われます。アクティブな鍵バージョンのマテリアルをすべて破棄する場合は、鍵リング、鍵、鍵バージョンに料金は掛からず、そのまま残ります。
承認と認証
Cloud KMS API への認証を行うにはどうすればよいですか?
クライアントの認証方法は、コードが実行されているプラットフォームによって若干異なる場合があります。詳細については、API へのアクセスをご覧ください。
どの IAM のロールを使用すればよいですか?
最小限の権限の原則を適用するために、組織内のユーザー アカウントとサービス アカウントが目的の機能を遂行するために必要な権限のみを持つようにしてください。詳細については、職掌分散をご覧ください。
IAM 権限が削除されるまでの時間はどれくらいですか?
権限を削除した場合、1 時間以内に反映されるはずです。
その他
追加認証データとは何ですか?どのような場合に使用しますか?
追加認証データ(AAD)は、暗号化または復号リクエストの一部として Cloud KMS に渡す任意の文字列です。AAD は整合性チェックとして使用され、混乱した代理攻撃からデータを保護するために役立ちます。詳細については、追加認証データをご覧ください。
データアクセス ログはデフォルトで有効になっていますか?データアクセス ログを有効にするにはどうすればよいですか?
データアクセス ログはデフォルトでは有効になっていません。詳細については、データアクセス ログの有効化をご覧ください。
Cloud KMS 鍵とサービス アカウント キーにはどのような関係がありますか?
サービス アカウント キーは、Google Cloud内のサービス間認証に使用されます。サービス アカウント キーは Cloud KMS 鍵とは無関係です。
Cloud KMS 鍵と API キーにはどのような関係がありますか?
API キーは暗号化された単純な文字列であり、プライベート ユーザーデータにアクセスする必要のない、特定の API を呼び出すときに使用できます。API キーにより、割り当てや課金のためにプロジェクトに関連付けられた API リクエストが追跡されます。API キーは Cloud KMS 鍵とは無関係です。
Cloud HSM で使用される HSM についてさらに詳細がありますか?
すべての HSM デバイスは Marvell(旧 Cavium)によって製造されています。デバイスの FIPS 証明書は、NIST のウェブサイトで確認できます。