Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Cloud Key Management Service の規制サポート

このドキュメントでは、サポートされているコントロールパッケージのコントロールに沿った Cloud Key Management Service の機能、構成、API について説明します。このドキュメントは、Assured Workloads を使用していることを前提としています。

インドのデータ境界

サポート対象のサービス

次の表に、インドの Data Boundary の要件を満たす Cloud Key Management Service API とバージョンを示します。

サービス	バージョン	ステータス
cloudkms.googleapis.com	v1	サポート対象

機密データの API フィールド

リソース: cloudkms.googleapis.com/CryptoKey

次の表に、インドの Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド	保護されたフィールド
サービス: `cloudkms.googleapis.com` REST API: `GET` `/v1/{parent=projects//locations//keyRings/*}/cryptoKeys` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.ListCryptoKeys`	`filter` `orderBy`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys/*}:encrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Encrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataChecksum.crc32c.value` `additionalAuthenticatedDataCrc32c.value` `plaintext` `plaintextChecksum.crc32c.value` `plaintextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys/}:decrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Decrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{parent=projects//locations//keyRings/*}/cryptoKeys` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.CreateCryptoKey`	`cryptoKeyId`

リソース: cloudkms.googleapis.com/CryptoKeyVersion

次の表に、インドの Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド	保護されたフィールド
サービス: `cloudkms.googleapis.com` REST API: `GET` `/v1/{parent=projects//locations//keyRings//cryptoKeys/}/cryptoKeyVersions` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.ListCryptoKeyVersions`	`filter` `orderBy`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:asymmetricDecrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.AsymmetricDecrypt`	`ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:asymmetricSign` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.AsymmetricSign`	`data` `dataCrc32c.value` `digest.externalMu` `digest.sha256` `digest.sha384` `digest.sha512` `digestCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:decapsulate` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Decapsulate`	`ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:macSign` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.MacSign`	`data` `dataCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:macVerify` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.MacVerify`	`data` `dataCrc32c.value` `mac` `macCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:rawDecrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.RawDecrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `ciphertext` `ciphertextCrc32c.value` `initializationVector` `initializationVectorCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:rawEncrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.RawEncrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `initializationVector` `initializationVectorCrc32c.value` `plaintext` `plaintextCrc32c.value`

リソース: cloudkms.googleapis.com/ImportJob

次の表に、インドの Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{name=projects/*/locations/*/keyRings/*/importJobs/*}

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GetImportJob

publicKeyFormat

サービス: cloudkms.googleapis.com

REST API: GET /v1/{parent=projects/*/locations/*/keyRings/*}/importJobs

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.ListImportJobs

filter
orderBy

サービス: cloudkms.googleapis.com

REST API: POST /v1/{parent=projects/*/locations/*/keyRings/*}/importJobs

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.CreateImportJob

importJobId

リソース: cloudkms.googleapis.com/KeyRing

次の表に、インドの Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{parent=projects/*/locations/*}/keyRings

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.ListKeyRings

filter
orderBy

サービス: cloudkms.googleapis.com

REST API: POST /v1/{parent=projects/*/locations/*}/keyRings

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.CreateKeyRing

keyRingId

リソース: cloudkms.googleapis.com/Location

次の表に、インドの Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: POST /v1/{location=projects/*/locations/*}:generateRandomBytes

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GenerateRandomBytes

lengthBytes
location
protectionLevel

リソース: cloudkms.googleapis.com/PublicKey

次の表に、インドの Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{name=projects/*/locations/*/keyRings/*/cryptoKeys/*/cryptoKeyVersions/*}/publicKey

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GetPublicKey

publicKeyFormat

機密データ用ではないフィールド

次の表に、機密情報に適さないフィールドカテゴリと特定のフィールドの例を示します。コンプライアンスを維持するため、これらのフィールドに保護されたデータを配置しないでください。完全なリストについては、Google Cloud の担当者にお問い合わせください。

カテゴリ	フィールド
コンテキスト情報	`callerProvidedContext.fields.key` `callerProvidedContext.fields.value.stringValue`
フィルタリングと並べ替え	`filter` `orderBy` `pageToken`
鍵アクセス制御	`cryptoKeyVersion.externalProtectionLevelOptions.ekmConnectionBackendOverride` `cryptoKeyVersion.externalProtectionLevelOptions.externalKeyUri` `ekmConnection.serviceResolvers.endpointFilter` `ekmConnection.serviceResolvers.hostname` `ekmConnection.serviceResolvers.serviceDirectoryService` `keyAccessJustificationsPolicyConfig.name`
キーの構成	`autokeyConfig.keyProject` `autokeyConfig.name` `cryptoKey.cryptoKeyBackend` `ekmConnection.cryptoSpacePath` `wrappingKey`
鍵ハンドルの管理	`keyHandle.name` `keyHandle.resourceTypeSelector` `keyHandleId`
鍵マテリアルのインポート	`autokeyConfig.etag` `cryptoKeyVersion` `ekmConnection.etag` `importJob` `importingKey`
ラベル付け	`cryptoKey.labels.key` `cryptoKey.labels.value`
プロジェクトとロケーション	`project`
定足数とアクセス候補	`quorumReply.challengeReplies.publicKeyPem` `requiredActionQuorumReply.requiredChallengeReplies.publicKeyPem` `singleTenantHsmInstanceProposal.addQuorumMember.twoFactorPublicKeyPem` `singleTenantHsmInstanceProposal.name` `singleTenantHsmInstanceProposal.registerTwoFactorAuthKeys.twoFactorPublicKeyPems` `singleTenantHsmInstanceProposal.removeQuorumMember.twoFactorPublicKeyPem`
リソースの ID	`cryptoKeyVersionId` `name` `parent` `singleTenantHsmInstanceId` `singleTenantHsmInstanceProposalId`

オーストラリアの Data Boundary とサポート

サポート対象のサービス

次の表に、オーストラリアの Data Boundary とサポートの要件を満たす Cloud Key Management Service API とバージョンを示します。

サービス	バージョン	ステータス
cloudkms.googleapis.com	v1	サポート対象

機密データの API フィールド

リソース: cloudkms.googleapis.com/CryptoKey

次の表に、オーストラリアの Data Boundary とサポートで保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド	保護されたフィールド
サービス: `cloudkms.googleapis.com` REST API: `GET` `/v1/{parent=projects//locations//keyRings/*}/cryptoKeys` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.ListCryptoKeys`	`filter` `orderBy`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys/*}:encrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Encrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataChecksum.crc32c.value` `additionalAuthenticatedDataCrc32c.value` `plaintext` `plaintextChecksum.crc32c.value` `plaintextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys/}:decrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Decrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{parent=projects//locations//keyRings/*}/cryptoKeys` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.CreateCryptoKey`	`cryptoKeyId`

リソース: cloudkms.googleapis.com/CryptoKeyVersion

次の表に、オーストラリアの Data Boundary とサポートで保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド	保護されたフィールド
サービス: `cloudkms.googleapis.com` REST API: `GET` `/v1/{parent=projects//locations//keyRings//cryptoKeys/}/cryptoKeyVersions` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.ListCryptoKeyVersions`	`filter` `orderBy`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:asymmetricDecrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.AsymmetricDecrypt`	`ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:asymmetricSign` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.AsymmetricSign`	`data` `dataCrc32c.value` `digest.externalMu` `digest.sha256` `digest.sha384` `digest.sha512` `digestCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:decapsulate` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Decapsulate`	`ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:macSign` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.MacSign`	`data` `dataCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:macVerify` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.MacVerify`	`data` `dataCrc32c.value` `mac` `macCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:rawDecrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.RawDecrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `ciphertext` `ciphertextCrc32c.value` `initializationVector` `initializationVectorCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:rawEncrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.RawEncrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `initializationVector` `initializationVectorCrc32c.value` `plaintext` `plaintextCrc32c.value`

リソース: cloudkms.googleapis.com/ImportJob

次の表に、オーストラリアの Data Boundary とサポートで保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{name=projects/*/locations/*/keyRings/*/importJobs/*}

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GetImportJob

publicKeyFormat

サービス: cloudkms.googleapis.com

REST API: GET /v1/{parent=projects/*/locations/*/keyRings/*}/importJobs

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.ListImportJobs

filter
orderBy

サービス: cloudkms.googleapis.com

REST API: POST /v1/{parent=projects/*/locations/*/keyRings/*}/importJobs

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.CreateImportJob

importJobId

リソース: cloudkms.googleapis.com/KeyRing

次の表に、オーストラリアの Data Boundary とサポートで保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{parent=projects/*/locations/*}/keyRings

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.ListKeyRings

filter
orderBy

サービス: cloudkms.googleapis.com

REST API: POST /v1/{parent=projects/*/locations/*}/keyRings

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.CreateKeyRing

keyRingId

リソース: cloudkms.googleapis.com/Location

次の表に、オーストラリアの Data Boundary とサポートで保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: POST /v1/{location=projects/*/locations/*}:generateRandomBytes

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GenerateRandomBytes

lengthBytes
location
protectionLevel

リソース: cloudkms.googleapis.com/PublicKey

次の表に、オーストラリアの Data Boundary とサポートで保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{name=projects/*/locations/*/keyRings/*/cryptoKeys/*/cryptoKeyVersions/*}/publicKey

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GetPublicKey

publicKeyFormat

機密データ用ではないフィールド

カテゴリ	フィールド
コンテキスト情報	`callerProvidedContext.fields.key` `callerProvidedContext.fields.value.stringValue`
外部鍵管理	`cryptoKeyVersion.externalProtectionLevelOptions.ekmConnectionKeyPath` `cryptoKeyVersion.externalProtectionLevelOptions.externalKeyUri` `ekmConnection.cryptoSpacePath` `ekmConnection.serviceResolvers.hostname` `ekmConnection.serviceResolvers.serviceDirectoryService`
フィルタリングと並べ替え	`filter` `orderBy` `pageToken`
HSM インスタンスの提案	`singleTenantHsmInstanceProposal.name` `singleTenantHsmInstanceProposal.registerTwoFactorAuthKeys.twoFactorPublicKeyPems` `singleTenantHsmInstanceProposalId`
インポートジョブの構成	`importJob` `importJob.cryptoKeyBackend`
鍵アクセス制御	`ekmConnection.serviceResolvers.endpointFilter` `ekmConnection.serviceResolvers.endpointFilter` `keyAccessJustificationsPolicyConfig.name`
鍵ハンドルの管理	`keyHandle.resourceTypeSelector` `keyHandleId`
鍵管理の構成	`autokeyConfig.keyProject` `autokeyConfig.name` `ekmConfig.defaultEkmConnection`
鍵バージョンの管理	`cryptoKeyVersion` `cryptoKeyVersionId`
リソースの ID	`name` `parent` `project`

カナダの Data Boundary とサポート

サポート対象のサービス

次の表に、カナダの Data Boundary とサポートの要件を満たす Cloud Key Management Service API とバージョンを示します。

サービス	バージョン	ステータス
cloudkms.googleapis.com	v1	サポート対象

コンプライアンスがサポートされているリージョン

Cloud Key Management Service は、次の Google Cloud リージョンでカナダの Data Boundary とサポートを利用できます。

northamerica-northeast1
northamerica-northeast2

機密データの API フィールド

リソース: cloudkms.googleapis.com/CryptoKey

次の表に、カナダの Data Boundary とサポートで保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド	保護されたフィールド
サービス: `cloudkms.googleapis.com` REST API: `GET` `/v1/{parent=projects//locations//keyRings/*}/cryptoKeys` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.ListCryptoKeys`	`filter` `orderBy`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys/*}:encrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Encrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataChecksum.crc32c.value` `additionalAuthenticatedDataCrc32c.value` `plaintext` `plaintextChecksum.crc32c.value` `plaintextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys/}:decrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Decrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{parent=projects//locations//keyRings/*}/cryptoKeys` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.CreateCryptoKey`	`cryptoKeyId`

リソース: cloudkms.googleapis.com/CryptoKeyVersion

次の表に、カナダの Data Boundary とサポートで保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド	保護されたフィールド
サービス: `cloudkms.googleapis.com` REST API: `GET` `/v1/{parent=projects//locations//keyRings//cryptoKeys/}/cryptoKeyVersions` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.ListCryptoKeyVersions`	`filter` `orderBy`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:asymmetricDecrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.AsymmetricDecrypt`	`ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:asymmetricSign` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.AsymmetricSign`	`data` `dataCrc32c.value` `digest.externalMu` `digest.sha256` `digest.sha384` `digest.sha512` `digestCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:decapsulate` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Decapsulate`	`ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:macSign` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.MacSign`	`data` `dataCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:macVerify` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.MacVerify`	`data` `dataCrc32c.value` `mac` `macCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:rawDecrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.RawDecrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `ciphertext` `ciphertextCrc32c.value` `initializationVector` `initializationVectorCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:rawEncrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.RawEncrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `initializationVector` `initializationVectorCrc32c.value` `plaintext` `plaintextCrc32c.value`

リソース: cloudkms.googleapis.com/ImportJob

次の表に、カナダの Data Boundary とサポートで保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{name=projects/*/locations/*/keyRings/*/importJobs/*}

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GetImportJob

publicKeyFormat

サービス: cloudkms.googleapis.com

REST API: GET /v1/{parent=projects/*/locations/*/keyRings/*}/importJobs

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.ListImportJobs

filter
orderBy

サービス: cloudkms.googleapis.com

REST API: POST /v1/{parent=projects/*/locations/*/keyRings/*}/importJobs

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.CreateImportJob

importJobId

リソース: cloudkms.googleapis.com/KeyRing

次の表に、カナダの Data Boundary とサポートで保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{parent=projects/*/locations/*}/keyRings

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.ListKeyRings

filter
orderBy

サービス: cloudkms.googleapis.com

REST API: POST /v1/{parent=projects/*/locations/*}/keyRings

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.CreateKeyRing

keyRingId

リソース: cloudkms.googleapis.com/Location

次の表に、カナダの Data Boundary とサポートで保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: POST /v1/{location=projects/*/locations/*}:generateRandomBytes

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GenerateRandomBytes

lengthBytes
location
protectionLevel

リソース: cloudkms.googleapis.com/PublicKey

次の表に、カナダの Data Boundary とサポートで保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{name=projects/*/locations/*/keyRings/*/cryptoKeys/*/cryptoKeyVersions/*}/publicKey

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GetPublicKey

publicKeyFormat

機密データ用ではないフィールド

カテゴリ	フィールド
コンテキスト情報	`callerProvidedContext.fields.key` `callerProvidedContext.fields.value.stringValue`
暗号鍵の詳細	`cryptoKey` `cryptoKey.cryptoKeyBackend` `cryptoKey.labels.key` `cryptoKey.labels.value`
EKM の構成	`ekmConfig.defaultEkmConnection` `ekmConnection.cryptoSpacePath` `ekmConnection.serviceResolvers.endpointFilter` `ekmConnection.serviceResolvers.hostname` `ekmConnection.serviceResolvers.serviceDirectoryService`
インポートジョブの構成	`importJob` `importJob.cryptoKeyBackend` `importingKey`
鍵アクセス制御	`keyAccessJustificationsPolicyConfig.name`
鍵ハンドルの管理	`keyHandle.name` `keyHandle.resourceTypeSelector` `keyHandleId`
鍵バージョンの構成	`cryptoKeyVersion` `cryptoKeyVersion.externalProtectionLevelOptions.ekmConnectionBackendOverride` `cryptoKeyVersion.externalProtectionLevelOptions.ekmConnectionKeyPath` `cryptoKeyVersion.externalProtectionLevelOptions.externalKeyUri` `cryptoKeyVersionId`
リストとフィルタのオプション	`filter` `orderBy` `pageToken`
リソースの ID	`name` `project`
リソース管理	`parent` `updateMask.paths`

EU の Data Boundary とサポート

サポート対象のサービス

次の表に、EU Data Boundary とサポートの要件を満たす Cloud Key Management Service API とバージョンを示します。

サービス	バージョン	ステータス
cloudkms.googleapis.com	v1	サポート対象

コンプライアンスがサポートされているリージョン

Cloud Key Management Service は、次の Google Cloud リージョンで EU Data Boundary とサポートを利用できます。

europe-west8
europe-west9
europe-west3

機密データの API フィールド

リソース: cloudkms.googleapis.com/CryptoKey

次の表に、EU Data Boundary とサポートで保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド	保護されたフィールド
サービス: `cloudkms.googleapis.com` REST API: `GET` `/v1/{parent=projects//locations//keyRings/*}/cryptoKeys` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.ListCryptoKeys`	`filter` `orderBy`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys/*}:encrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Encrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataChecksum.crc32c.value` `additionalAuthenticatedDataCrc32c.value` `plaintext` `plaintextChecksum.crc32c.value` `plaintextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys/}:decrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Decrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{parent=projects//locations//keyRings/*}/cryptoKeys` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.CreateCryptoKey`	`cryptoKeyId`

リソース: cloudkms.googleapis.com/CryptoKeyVersion

次の表に、EU Data Boundary とサポートで保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド	保護されたフィールド
サービス: `cloudkms.googleapis.com` REST API: `GET` `/v1/{parent=projects//locations//keyRings//cryptoKeys/}/cryptoKeyVersions` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.ListCryptoKeyVersions`	`filter` `orderBy`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:asymmetricDecrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.AsymmetricDecrypt`	`ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:asymmetricSign` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.AsymmetricSign`	`data` `dataCrc32c.value` `digest.externalMu` `digest.sha256` `digest.sha384` `digest.sha512` `digestCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:decapsulate` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Decapsulate`	`ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:macSign` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.MacSign`	`data` `dataCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:macVerify` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.MacVerify`	`data` `dataCrc32c.value` `mac` `macCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:rawDecrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.RawDecrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `ciphertext` `ciphertextCrc32c.value` `initializationVector` `initializationVectorCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:rawEncrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.RawEncrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `initializationVector` `initializationVectorCrc32c.value` `plaintext` `plaintextCrc32c.value`

リソース: cloudkms.googleapis.com/ImportJob

次の表に、EU Data Boundary とサポートで保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{name=projects/*/locations/*/keyRings/*/importJobs/*}

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GetImportJob

publicKeyFormat

サービス: cloudkms.googleapis.com

REST API: GET /v1/{parent=projects/*/locations/*/keyRings/*}/importJobs

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.ListImportJobs

filter
orderBy

サービス: cloudkms.googleapis.com

REST API: POST /v1/{parent=projects/*/locations/*/keyRings/*}/importJobs

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.CreateImportJob

importJobId

リソース: cloudkms.googleapis.com/KeyRing

次の表に、EU Data Boundary とサポートで保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{parent=projects/*/locations/*}/keyRings

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.ListKeyRings

filter
orderBy

サービス: cloudkms.googleapis.com

REST API: POST /v1/{parent=projects/*/locations/*}/keyRings

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.CreateKeyRing

keyRingId

リソース: cloudkms.googleapis.com/Location

次の表に、EU Data Boundary とサポートで保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: POST /v1/{location=projects/*/locations/*}:generateRandomBytes

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GenerateRandomBytes

lengthBytes
location
protectionLevel

リソース: cloudkms.googleapis.com/PublicKey

次の表に、EU Data Boundary とサポートで保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{name=projects/*/locations/*/keyRings/*/cryptoKeys/*/cryptoKeyVersions/*}/publicKey

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GetPublicKey

publicKeyFormat

機密データ用ではないフィールド

カテゴリ	フィールド
Autokey 構成	`autokeyConfig.etag` `autokeyConfig.keyProject` `autokeyConfig.name`
コンテキストとクォーラム	`callerProvidedContext.fields.key` `callerProvidedContext.fields.value.stringValue` `quorumReply.challengeReplies.publicKeyPem` `requiredActionQuorumReply.requiredChallengeReplies.publicKeyPem` `singleTenantHsmInstanceProposal.addQuorumMember.twoFactorPublicKeyPem` `singleTenantHsmInstanceProposal.registerTwoFactorAuthKeys.twoFactorPublicKeyPems`
暗号鍵バージョンの詳細	`cryptoKeyVersion` `cryptoKeyVersion.externalProtectionLevelOptions.ekmConnectionBackendOverride` `cryptoKeyVersion.externalProtectionLevelOptions.ekmConnectionKeyPath` `cryptoKeyVersion.externalProtectionLevelOptions.externalKeyUri`
EKM 接続の詳細	`ekmConfig.defaultEkmConnection` `ekmConnection.cryptoSpacePath` `ekmConnection.etag` `ekmConnection.serviceResolvers.endpointFilter` `ekmConnection.serviceResolvers.hostname` `ekmConnection.serviceResolvers.serviceDirectoryService`
フィルタリングと並べ替え	`filter` `orderBy`
インポートジョブの詳細	`importJob` `importJob.cryptoKeyBackend` `importingKey`
キーハンドルの構成	`keyHandle.name` `keyHandle.resourceTypeSelector`
ページ分け	`pageToken`
リソースの ID	`cryptoKeyVersionId` `ekmConnectionId` `keyHandleId` `name` `parent` `project`
ラッピング鍵の情報	`wrappingKey`

イスラエルのデータ境界とサポート

サポート対象のサービス

次の表に、イスラエルの Data Boundary とサポートの要件を満たす Cloud Key Management Service API とバージョンを示します。

サービス	バージョン	ステータス
cloudkms.googleapis.com	v1	サポート対象

機密データの API フィールド

リソース: cloudkms.googleapis.com/CryptoKey

次の表に、イスラエル Data Boundary とサポートで保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド	保護されたフィールド
サービス: `cloudkms.googleapis.com` REST API: `GET` `/v1/{parent=projects//locations//keyRings/*}/cryptoKeys` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.ListCryptoKeys`	`filter` `orderBy`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys/*}:encrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Encrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataChecksum.crc32c.value` `additionalAuthenticatedDataCrc32c.value` `plaintext` `plaintextChecksum.crc32c.value` `plaintextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys/}:decrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Decrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{parent=projects//locations//keyRings/*}/cryptoKeys` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.CreateCryptoKey`	`cryptoKeyId`

リソース: cloudkms.googleapis.com/CryptoKeyVersion

次の表に、イスラエル Data Boundary とサポートで保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド	保護されたフィールド
サービス: `cloudkms.googleapis.com` REST API: `GET` `/v1/{parent=projects//locations//keyRings//cryptoKeys/}/cryptoKeyVersions` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.ListCryptoKeyVersions`	`filter` `orderBy`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:asymmetricDecrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.AsymmetricDecrypt`	`ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:asymmetricSign` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.AsymmetricSign`	`data` `dataCrc32c.value` `digest.externalMu` `digest.sha256` `digest.sha384` `digest.sha512` `digestCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:decapsulate` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Decapsulate`	`ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:macSign` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.MacSign`	`data` `dataCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:macVerify` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.MacVerify`	`data` `dataCrc32c.value` `mac` `macCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:rawDecrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.RawDecrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `ciphertext` `ciphertextCrc32c.value` `initializationVector` `initializationVectorCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:rawEncrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.RawEncrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `initializationVector` `initializationVectorCrc32c.value` `plaintext` `plaintextCrc32c.value`

リソース: cloudkms.googleapis.com/ImportJob

次の表に、イスラエル Data Boundary とサポートで保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{name=projects/*/locations/*/keyRings/*/importJobs/*}

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GetImportJob

publicKeyFormat

サービス: cloudkms.googleapis.com

REST API: GET /v1/{parent=projects/*/locations/*/keyRings/*}/importJobs

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.ListImportJobs

filter
orderBy

サービス: cloudkms.googleapis.com

REST API: POST /v1/{parent=projects/*/locations/*/keyRings/*}/importJobs

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.CreateImportJob

importJobId

リソース: cloudkms.googleapis.com/KeyRing

次の表に、イスラエル Data Boundary とサポートで保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{parent=projects/*/locations/*}/keyRings

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.ListKeyRings

filter
orderBy

サービス: cloudkms.googleapis.com

REST API: POST /v1/{parent=projects/*/locations/*}/keyRings

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.CreateKeyRing

keyRingId

リソース: cloudkms.googleapis.com/Location

次の表に、イスラエル Data Boundary とサポートで保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: POST /v1/{location=projects/*/locations/*}:generateRandomBytes

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GenerateRandomBytes

lengthBytes
location
protectionLevel

リソース: cloudkms.googleapis.com/PublicKey

次の表に、イスラエル Data Boundary とサポートで保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{name=projects/*/locations/*/keyRings/*/cryptoKeys/*/cryptoKeyVersions/*}/publicKey

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GetPublicKey

publicKeyFormat

機密データ用ではないフィールド

カテゴリ	フィールド
コンテキストデータ	`callerProvidedContext.fields.key` `callerProvidedContext.fields.value.stringValue`
外部鍵管理	`cryptoKeyVersion.externalProtectionLevelOptions.ekmConnectionBackendOverride` `cryptoKeyVersion.externalProtectionLevelOptions.ekmConnectionKeyPath` `cryptoKeyVersion.externalProtectionLevelOptions.externalKeyUri` `ekmConfig.defaultEkmConnection`
フィルタリングと並べ替え	`filter` `orderBy` `pageToken`
HSM プロポーザルの詳細	`singleTenantHsmInstance.name` `singleTenantHsmInstanceProposal.name` `singleTenantHsmInstanceProposal.registerTwoFactorAuthKeys.twoFactorPublicKeyPems` `singleTenantHsmInstanceProposal.removeQuorumMember.twoFactorPublicKeyPem` `singleTenantHsmInstanceProposal.upgradeKeyTrust.name` `singleTenantHsmInstanceProposal.upgradeKeyTrust.twoFactorPublicKeyPem`
インポートジョブの構成	`importJob` `importJob.cryptoKeyBackend` `importingKey`
鍵アクセス制御	`autokeyConfig.name` `ekmConnectionId` `keyAccessJustificationsPolicyConfig.name` `keyHandle.name` `keyHandleId` `wrappingKey`
キーの構成	`autokeyConfig.keyProject` `cryptoKey.cryptoKeyBackend` `ekmConnection.cryptoSpacePath` `ekmConnection.serviceResolvers.endpointFilter` `ekmConnection.serviceResolvers.hostname` `ekmConnection.serviceResolvers.serviceDirectoryService`
鍵バージョンの情報	`cryptoKey` `cryptoKeyVersion` `cryptoKeyVersionId`
リソースの ID	`name` `parent` `project` `singleTenantHsmInstanceId` `singleTenantHsmInstanceProposalId`
更新マスク	`updateMask.paths`

日本の Data Boundary

サポート対象のサービス

次の表に、日本データ境界の要件を満たす Cloud Key Management Service API とバージョンを示します。

サービス	バージョン	ステータス
cloudkms.googleapis.com	v1	サポート対象

機密データの API フィールド

リソース: cloudkms.googleapis.com/CryptoKey

次の表に、日本 Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド	保護されたフィールド
サービス: `cloudkms.googleapis.com` REST API: `GET` `/v1/{parent=projects//locations//keyRings/*}/cryptoKeys` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.ListCryptoKeys`	`filter` `orderBy`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys/*}:encrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Encrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataChecksum.crc32c.value` `additionalAuthenticatedDataCrc32c.value` `plaintext` `plaintextChecksum.crc32c.value` `plaintextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys/}:decrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Decrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{parent=projects//locations//keyRings/*}/cryptoKeys` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.CreateCryptoKey`	`cryptoKeyId`

リソース: cloudkms.googleapis.com/CryptoKeyVersion

次の表に、日本 Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド	保護されたフィールド
サービス: `cloudkms.googleapis.com` REST API: `GET` `/v1/{parent=projects//locations//keyRings//cryptoKeys/}/cryptoKeyVersions` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.ListCryptoKeyVersions`	`filter` `orderBy`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:asymmetricDecrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.AsymmetricDecrypt`	`ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:asymmetricSign` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.AsymmetricSign`	`data` `dataCrc32c.value` `digest.externalMu` `digest.sha256` `digest.sha384` `digest.sha512` `digestCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:decapsulate` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Decapsulate`	`ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:macSign` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.MacSign`	`data` `dataCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:macVerify` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.MacVerify`	`data` `dataCrc32c.value` `mac` `macCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:rawDecrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.RawDecrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `ciphertext` `ciphertextCrc32c.value` `initializationVector` `initializationVectorCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:rawEncrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.RawEncrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `initializationVector` `initializationVectorCrc32c.value` `plaintext` `plaintextCrc32c.value`

リソース: cloudkms.googleapis.com/ImportJob

次の表に、日本 Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{name=projects/*/locations/*/keyRings/*/importJobs/*}

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GetImportJob

publicKeyFormat

サービス: cloudkms.googleapis.com

REST API: GET /v1/{parent=projects/*/locations/*/keyRings/*}/importJobs

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.ListImportJobs

filter
orderBy

サービス: cloudkms.googleapis.com

REST API: POST /v1/{parent=projects/*/locations/*/keyRings/*}/importJobs

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.CreateImportJob

importJobId

リソース: cloudkms.googleapis.com/KeyRing

次の表に、日本 Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{parent=projects/*/locations/*}/keyRings

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.ListKeyRings

filter
orderBy

サービス: cloudkms.googleapis.com

REST API: POST /v1/{parent=projects/*/locations/*}/keyRings

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.CreateKeyRing

keyRingId

リソース: cloudkms.googleapis.com/Location

次の表に、日本 Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: POST /v1/{location=projects/*/locations/*}:generateRandomBytes

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GenerateRandomBytes

lengthBytes
location
protectionLevel

リソース: cloudkms.googleapis.com/PublicKey

次の表に、日本 Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{name=projects/*/locations/*/keyRings/*/cryptoKeys/*/cryptoKeyVersions/*}/publicKey

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GetPublicKey

publicKeyFormat

機密データ用ではないフィールド

カテゴリ	フィールド
アクセス制御と権限	`ekmConnection.serviceResolvers.endpointFilter` `ekmConnection.serviceResolvers.endpointFilter` `ekmConnection.serviceResolvers.hostname` `ekmConnection.serviceResolvers.hostname` `ekmConnection.serviceResolvers.serviceDirectoryService` `keyAccessJustificationsPolicyConfig.name`
コンテキスト情報	`callerProvidedContext.fields.key` `callerProvidedContext.fields.value.stringValue`
HSM インスタンスの管理	`singleTenantHsmInstanceProposal.addQuorumMember.twoFactorPublicKeyPem` `singleTenantHsmInstanceProposal.registerTwoFactorAuthKeys.twoFactorPublicKeyPems` `singleTenantHsmInstanceProposal.removeQuorumMember.twoFactorPublicKeyPem` `singleTenantHsmInstanceProposal.upgradeKeyTrust.name` `singleTenantHsmInstanceProposal.upgradeKeyTrust.twoFactorPublicKeyPem`
鍵管理	`autokeyConfig.etag` `autokeyConfig.keyProject` `ekmConnection.cryptoSpacePath` `ekmConnection.cryptoSpacePath` `ekmConnection.etag` `ekmConnectionId`
鍵バージョンの構成	`cryptoKeyVersion` `cryptoKeyVersion.externalProtectionLevelOptions.ekmConnectionBackendOverride` `cryptoKeyVersion.externalProtectionLevelOptions.ekmConnectionKeyPath` `cryptoKeyVersion.externalProtectionLevelOptions.externalKeyUri` `cryptoKeyVersionId` `importJob.cryptoKeyBackend`
鍵のラッピング	`cryptoKey` `importingKey` `wrappingKey`
リストとフィルタリングのオプション	`cryptoKey.labels.key` `cryptoKey.labels.value` `filter` `orderBy` `pageToken`
プロジェクトとバックエンドの構成	`cryptoKey.cryptoKeyBackend` `project`
リソースの ID	`keyHandle.name` `keyHandleId` `name` `parent` `singleTenantHsmInstanceId` `singleTenantHsmInstanceProposalId`
更新マスク	`updateMask.paths`

米国の Data Boundary とサポート

サポート対象のサービス

次の表に、米国 Data Boundary とサポートの要件を満たす Cloud Key Management Service API とバージョンを示します。

サービス	バージョン	ステータス
cloudkms.googleapis.com	v1	サポート対象

コンプライアンスがサポートされているリージョン

Cloud Key Management Service は、次の Google Cloud リージョンで米国 Data Boundary とサポートを利用できます。

us-east1
us-east4
us-west2
us-west1
us-central1
us-west3
us-central2
us-west4
us-east5
us-south1

機密データの API フィールド

リソース: cloudkms.googleapis.com/CryptoKey

次の表に、米国 Data Boundary とサポートで保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド	保護されたフィールド
サービス: `cloudkms.googleapis.com` REST API: `GET` `/v1/{parent=projects//locations//keyRings/*}/cryptoKeys` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.ListCryptoKeys`	`filter` `orderBy`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys/*}:encrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Encrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataChecksum.crc32c.value` `additionalAuthenticatedDataCrc32c.value` `plaintext` `plaintextChecksum.crc32c.value` `plaintextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys/}:decrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Decrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{parent=projects//locations//keyRings/*}/cryptoKeys` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.CreateCryptoKey`	`cryptoKeyId`

リソース: cloudkms.googleapis.com/CryptoKeyVersion

次の表に、米国 Data Boundary とサポートで保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド	保護されたフィールド
サービス: `cloudkms.googleapis.com` REST API: `GET` `/v1/{parent=projects//locations//keyRings//cryptoKeys/}/cryptoKeyVersions` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.ListCryptoKeyVersions`	`filter` `orderBy`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:asymmetricDecrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.AsymmetricDecrypt`	`ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:asymmetricSign` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.AsymmetricSign`	`data` `dataCrc32c.value` `digest.externalMu` `digest.sha256` `digest.sha384` `digest.sha512` `digestCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:decapsulate` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Decapsulate`	`ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:macSign` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.MacSign`	`data` `dataCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:macVerify` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.MacVerify`	`data` `dataCrc32c.value` `mac` `macCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:rawDecrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.RawDecrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `ciphertext` `ciphertextCrc32c.value` `initializationVector` `initializationVectorCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:rawEncrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.RawEncrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `initializationVector` `initializationVectorCrc32c.value` `plaintext` `plaintextCrc32c.value`

リソース: cloudkms.googleapis.com/ImportJob

次の表に、米国 Data Boundary とサポートで保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{name=projects/*/locations/*/keyRings/*/importJobs/*}

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GetImportJob

publicKeyFormat

サービス: cloudkms.googleapis.com

REST API: GET /v1/{parent=projects/*/locations/*/keyRings/*}/importJobs

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.ListImportJobs

filter
orderBy

サービス: cloudkms.googleapis.com

REST API: POST /v1/{parent=projects/*/locations/*/keyRings/*}/importJobs

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.CreateImportJob

importJobId

リソース: cloudkms.googleapis.com/KeyRing

次の表に、米国 Data Boundary とサポートで保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{parent=projects/*/locations/*}/keyRings

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.ListKeyRings

filter
orderBy

サービス: cloudkms.googleapis.com

REST API: POST /v1/{parent=projects/*/locations/*}/keyRings

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.CreateKeyRing

keyRingId

リソース: cloudkms.googleapis.com/Location

次の表に、米国 Data Boundary とサポートで保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: POST /v1/{location=projects/*/locations/*}:generateRandomBytes

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GenerateRandomBytes

lengthBytes
location
protectionLevel

リソース: cloudkms.googleapis.com/PublicKey

次の表に、米国 Data Boundary とサポートで保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{name=projects/*/locations/*/keyRings/*/cryptoKeys/*/cryptoKeyVersions/*}/publicKey

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GetPublicKey

publicKeyFormat

機密データ用ではないフィールド

カテゴリ	フィールド
構成の更新	`updateMask.paths`
コンテキスト情報	`callerProvidedContext.fields.key` `callerProvidedContext.fields.value.stringValue` `cryptoKey.labels.key` `cryptoKey.labels.value`
EKM の構成	`cryptoKeyVersion.externalProtectionLevelOptions.ekmConnectionBackendOverride` `cryptoKeyVersion.externalProtectionLevelOptions.externalKeyUri` `ekmConfig.defaultEkmConnection` `ekmConnection.serviceResolvers.endpointFilter` `ekmConnection.serviceResolvers.hostname`
フィルタリングと並べ替え	`filter` `orderBy`
インポートジョブの詳細	`importJob.cryptoKeyBackend` `importingKey`
Key Access Justification	`keyAccessJustificationsPolicyConfig.name`
鍵ハンドルの詳細	`keyHandle.name` `keyHandle.resourceTypeSelector`
鍵管理パラメータ	`autokeyConfig.keyProject` `cryptoKey.cryptoKeyBackend` `cryptoKeyVersion.externalProtectionLevelOptions.ekmConnectionKeyPath` `ekmConnection.cryptoSpacePath` `ekmConnection.serviceResolvers.serviceDirectoryService` `wrappingKey`
ページ分け	`pageToken`
リソースの ID	`cryptoKeyVersionId` `ekmConnectionId` `keyHandleId` `name` `parent` `singleTenantHsmInstanceProposalId`

CJIS の Data Boundary

サポート対象のサービス

次の表に、CJIS の Data Boundary の要件を満たす Cloud Key Management Service API とバージョンを示します。

サービス	バージョン	ステータス
cloudkms.googleapis.com	v1	サポート対象

コンプライアンスがサポートされているリージョン

Cloud Key Management Service は、次の Google Cloud リージョンで CJIS の Data Boundary に使用できます。

us-east1
us-east4
us-west2
us-west1
us-central1
us-west3
us-central2
us-west4
us-east5
us-south1

機密データの API フィールド

リソース: cloudkms.googleapis.com/CryptoKey

次の表に、CJIS の Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド	保護されたフィールド
サービス: `cloudkms.googleapis.com` REST API: `GET` `/v1/{parent=projects//locations//keyRings/*}/cryptoKeys` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.ListCryptoKeys`	`filter` `orderBy`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys/*}:encrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Encrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataChecksum.crc32c.value` `additionalAuthenticatedDataCrc32c.value` `plaintext` `plaintextChecksum.crc32c.value` `plaintextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys/}:decrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Decrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{parent=projects//locations//keyRings/*}/cryptoKeys` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.CreateCryptoKey`	`cryptoKeyId`

リソース: cloudkms.googleapis.com/CryptoKeyVersion

次の表に、CJIS の Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド	保護されたフィールド
サービス: `cloudkms.googleapis.com` REST API: `GET` `/v1/{parent=projects//locations//keyRings//cryptoKeys/}/cryptoKeyVersions` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.ListCryptoKeyVersions`	`filter` `orderBy`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:asymmetricDecrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.AsymmetricDecrypt`	`ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:asymmetricSign` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.AsymmetricSign`	`data` `dataCrc32c.value` `digest.externalMu` `digest.sha256` `digest.sha384` `digest.sha512` `digestCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:decapsulate` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Decapsulate`	`ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:macSign` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.MacSign`	`data` `dataCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:macVerify` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.MacVerify`	`data` `dataCrc32c.value` `mac` `macCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:rawDecrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.RawDecrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `ciphertext` `ciphertextCrc32c.value` `initializationVector` `initializationVectorCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:rawEncrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.RawEncrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `initializationVector` `initializationVectorCrc32c.value` `plaintext` `plaintextCrc32c.value`

リソース: cloudkms.googleapis.com/ImportJob

次の表に、CJIS の Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{name=projects/*/locations/*/keyRings/*/importJobs/*}

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GetImportJob

publicKeyFormat

サービス: cloudkms.googleapis.com

REST API: GET /v1/{parent=projects/*/locations/*/keyRings/*}/importJobs

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.ListImportJobs

filter
orderBy

サービス: cloudkms.googleapis.com

REST API: POST /v1/{parent=projects/*/locations/*/keyRings/*}/importJobs

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.CreateImportJob

importJobId

リソース: cloudkms.googleapis.com/KeyRing

次の表に、CJIS の Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{parent=projects/*/locations/*}/keyRings

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.ListKeyRings

filter
orderBy

サービス: cloudkms.googleapis.com

REST API: POST /v1/{parent=projects/*/locations/*}/keyRings

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.CreateKeyRing

keyRingId

リソース: cloudkms.googleapis.com/Location

次の表に、CJIS の Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: POST /v1/{location=projects/*/locations/*}:generateRandomBytes

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GenerateRandomBytes

lengthBytes
location
protectionLevel

リソース: cloudkms.googleapis.com/PublicKey

次の表に、CJIS の Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{name=projects/*/locations/*/keyRings/*/cryptoKeys/*/cryptoKeyVersions/*}/publicKey

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GetPublicKey

publicKeyFormat

機密データ用ではないフィールド

カテゴリ	フィールド
コンテキスト情報	`callerProvidedContext.fields.key` `callerProvidedContext.fields.value.stringValue`
外部鍵の構成	`cryptoKeyVersion.externalProtectionLevelOptions.ekmConnectionBackendOverride` `cryptoKeyVersion.externalProtectionLevelOptions.ekmConnectionKeyPath` `cryptoKeyVersion.externalProtectionLevelOptions.externalKeyUri`
フィルタリングと並べ替え	`filter` `orderBy`
HSM インスタンスの提案	`singleTenantHsmInstanceProposal.addQuorumMember.twoFactorPublicKeyPem` `singleTenantHsmInstanceProposal.name` `singleTenantHsmInstanceProposal.registerTwoFactorAuthKeys.twoFactorPublicKeyPems` `singleTenantHsmInstanceProposal.removeQuorumMember.twoFactorPublicKeyPem` `singleTenantHsmInstanceProposal.upgradeKeyTrust.name` `singleTenantHsmInstanceProposalId`
インポートジョブの構成	`importJob` `importJob.cryptoKeyBackend`
鍵の作成と更新	`cryptoKey.cryptoKeyBackend` `cryptoKey.labels.key` `cryptoKey.labels.value` `updateMask.paths`
鍵ハンドルの詳細	`keyHandle.name` `keyHandle.resourceTypeSelector` `keyHandleId`
鍵管理の構成	`autokeyConfig.keyProject` `autokeyConfig.name` `ekmConnection.cryptoSpacePath` `ekmConnection.serviceResolvers.endpointFilter` `ekmConnection.serviceResolvers.hostname` `ekmConnectionId`
ページ分け	`pageToken`
リソースの ID	`name` `parent` `project`

カナダ Protected B のデータ境界

サポート対象のサービス

次の表に、カナダの Protected B の Data Boundary の要件を満たす Cloud Key Management Service API とバージョンを示します。

サービス	バージョン	ステータス
cloudkms.googleapis.com	v1	サポート対象

コンプライアンスがサポートされているリージョン

Cloud Key Management Service は、次の Google Cloud リージョンでカナダの Protected B の Data Boundary で使用できます。

northamerica-northeast1
northamerica-northeast2

機密データの API フィールド

リソース: cloudkms.googleapis.com/CryptoKey

次の表に、カナダ Protected B の Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド	保護されたフィールド
サービス: `cloudkms.googleapis.com` REST API: `GET` `/v1/{parent=projects//locations//keyRings/*}/cryptoKeys` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.ListCryptoKeys`	`filter` `orderBy`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys/*}:encrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Encrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataChecksum.crc32c.value` `additionalAuthenticatedDataCrc32c.value` `plaintext` `plaintextChecksum.crc32c.value` `plaintextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys/}:decrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Decrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{parent=projects//locations//keyRings/*}/cryptoKeys` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.CreateCryptoKey`	`cryptoKeyId`

リソース: cloudkms.googleapis.com/CryptoKeyVersion

次の表に、カナダ Protected B の Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド	保護されたフィールド
サービス: `cloudkms.googleapis.com` REST API: `GET` `/v1/{parent=projects//locations//keyRings//cryptoKeys/}/cryptoKeyVersions` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.ListCryptoKeyVersions`	`filter` `orderBy`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:asymmetricDecrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.AsymmetricDecrypt`	`ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:asymmetricSign` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.AsymmetricSign`	`data` `dataCrc32c.value` `digest.externalMu` `digest.sha256` `digest.sha384` `digest.sha512` `digestCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:decapsulate` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Decapsulate`	`ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:macSign` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.MacSign`	`data` `dataCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:macVerify` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.MacVerify`	`data` `dataCrc32c.value` `mac` `macCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:rawDecrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.RawDecrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `ciphertext` `ciphertextCrc32c.value` `initializationVector` `initializationVectorCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:rawEncrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.RawEncrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `initializationVector` `initializationVectorCrc32c.value` `plaintext` `plaintextCrc32c.value`

リソース: cloudkms.googleapis.com/ImportJob

次の表に、カナダ Protected B の Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{name=projects/*/locations/*/keyRings/*/importJobs/*}

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GetImportJob

publicKeyFormat

サービス: cloudkms.googleapis.com

REST API: GET /v1/{parent=projects/*/locations/*/keyRings/*}/importJobs

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.ListImportJobs

filter
orderBy

サービス: cloudkms.googleapis.com

REST API: POST /v1/{parent=projects/*/locations/*/keyRings/*}/importJobs

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.CreateImportJob

importJobId

リソース: cloudkms.googleapis.com/KeyRing

次の表に、カナダ Protected B の Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{parent=projects/*/locations/*}/keyRings

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.ListKeyRings

filter
orderBy

サービス: cloudkms.googleapis.com

REST API: POST /v1/{parent=projects/*/locations/*}/keyRings

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.CreateKeyRing

keyRingId

リソース: cloudkms.googleapis.com/Location

次の表に、カナダ Protected B の Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: POST /v1/{location=projects/*/locations/*}:generateRandomBytes

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GenerateRandomBytes

lengthBytes
location
protectionLevel

リソース: cloudkms.googleapis.com/PublicKey

次の表に、カナダ Protected B の Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{name=projects/*/locations/*/keyRings/*/cryptoKeys/*/cryptoKeyVersions/*}/publicKey

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GetPublicKey

publicKeyFormat

機密データ用ではないフィールド

カテゴリ	フィールド
コンテキスト情報	`callerProvidedContext.fields.key` `callerProvidedContext.fields.value.stringValue`
フィルタリングと並べ替え	`filter` `orderBy` `pageToken`
インポートジョブの構成	`importJob` `importJob.cryptoKeyBackend`
キーの構成 - autokey	`autokeyConfig.keyProject` `autokeyConfig.name`
キーの構成 - ekm	`ekmConfig.defaultEkmConnection` `ekmConnection.cryptoSpacePath` `ekmConnection.serviceResolvers.endpointFilter` `ekmConnection.serviceResolvers.hostname` `ekmConnection.serviceResolvers.serviceDirectoryService`
キーの構成 - 外部保護	`cryptoKeyVersion.externalProtectionLevelOptions.ekmConnectionBackendOverride` `cryptoKeyVersion.externalProtectionLevelOptions.ekmConnectionKeyPath` `cryptoKeyVersion.externalProtectionLevelOptions.externalKeyUri`
キーハンドルの構成	`keyHandle.name` `keyHandle.resourceTypeSelector`
キーメタデータ	`cryptoKey.cryptoKeyBackend` `cryptoKey.labels.key` `cryptoKey.labels.value`
クォーラムと信頼の構成	`quorumReply.challengeReplies.publicKeyPem` `singleTenantHsmInstanceProposal.addQuorumMember.twoFactorPublicKeyPem` `singleTenantHsmInstanceProposal.registerTwoFactorAuthKeys.twoFactorPublicKeyPems` `singleTenantHsmInstanceProposal.removeQuorumMember.twoFactorPublicKeyPem`
リソースの ID	`cryptoKeyVersionId` `name` `parent` `project` `singleTenantHsmInstanceId` `singleTenantHsmInstanceProposalId`

FedRAMP High のデータ境界

サポート対象のサービス

次の表に、FedRAMP High の Data Boundary の要件を満たす Cloud Key Management Service API とバージョンを示します。

サービス	バージョン	ステータス
cloudkms.googleapis.com	v1	サポート対象

コンプライアンスがサポートされているリージョン

Cloud Key Management Service は、次の Google Cloud リージョンで FedRAMP High 用の Data Boundary に使用できます。

us-east1
us-east4
us-west2
us-west1
us-central1
us-west3
us-central2
us-west4
us-east5
us-south1

機密データの API フィールド

リソース: cloudkms.googleapis.com/CryptoKey

次の表に、FedRAMP High の Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド	保護されたフィールド
サービス: `cloudkms.googleapis.com` REST API: `GET` `/v1/{parent=projects//locations//keyRings/*}/cryptoKeys` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.ListCryptoKeys`	`filter` `orderBy`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys/*}:encrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Encrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataChecksum.crc32c.value` `additionalAuthenticatedDataCrc32c.value` `plaintext` `plaintextChecksum.crc32c.value` `plaintextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys/}:decrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Decrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{parent=projects//locations//keyRings/*}/cryptoKeys` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.CreateCryptoKey`	`cryptoKeyId`

リソース: cloudkms.googleapis.com/CryptoKeyVersion

次の表に、FedRAMP High の Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド	保護されたフィールド
サービス: `cloudkms.googleapis.com` REST API: `GET` `/v1/{parent=projects//locations//keyRings//cryptoKeys/}/cryptoKeyVersions` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.ListCryptoKeyVersions`	`filter` `orderBy`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:asymmetricDecrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.AsymmetricDecrypt`	`ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:asymmetricSign` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.AsymmetricSign`	`data` `dataCrc32c.value` `digest.externalMu` `digest.sha256` `digest.sha384` `digest.sha512` `digestCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:decapsulate` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Decapsulate`	`ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:macSign` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.MacSign`	`data` `dataCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:macVerify` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.MacVerify`	`data` `dataCrc32c.value` `mac` `macCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:rawDecrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.RawDecrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `ciphertext` `ciphertextCrc32c.value` `initializationVector` `initializationVectorCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:rawEncrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.RawEncrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `initializationVector` `initializationVectorCrc32c.value` `plaintext` `plaintextCrc32c.value`

リソース: cloudkms.googleapis.com/ImportJob

次の表に、FedRAMP High の Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{name=projects/*/locations/*/keyRings/*/importJobs/*}

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GetImportJob

publicKeyFormat

サービス: cloudkms.googleapis.com

REST API: GET /v1/{parent=projects/*/locations/*/keyRings/*}/importJobs

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.ListImportJobs

filter
orderBy

サービス: cloudkms.googleapis.com

REST API: POST /v1/{parent=projects/*/locations/*/keyRings/*}/importJobs

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.CreateImportJob

importJobId

リソース: cloudkms.googleapis.com/KeyRing

次の表に、FedRAMP High の Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{parent=projects/*/locations/*}/keyRings

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.ListKeyRings

filter
orderBy

サービス: cloudkms.googleapis.com

REST API: POST /v1/{parent=projects/*/locations/*}/keyRings

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.CreateKeyRing

keyRingId

リソース: cloudkms.googleapis.com/Location

次の表に、FedRAMP High の Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: POST /v1/{location=projects/*/locations/*}:generateRandomBytes

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GenerateRandomBytes

lengthBytes
location
protectionLevel

リソース: cloudkms.googleapis.com/PublicKey

次の表に、FedRAMP High の Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{name=projects/*/locations/*/keyRings/*/cryptoKeys/*/cryptoKeyVersions/*}/publicKey

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GetPublicKey

publicKeyFormat

機密データ用ではないフィールド

カテゴリ	フィールド
コンテキストと認証	`callerProvidedContext.fields.key` `callerProvidedContext.fields.value.stringValue` `quorumReply.challengeReplies.publicKeyPem` `requiredActionQuorumReply.requiredChallengeReplies.publicKeyPem`
暗号鍵の属性	`cryptoKey.cryptoKeyBackend` `cryptoKey.labels.key` `cryptoKey.labels.value`
外部キーの統合	`cryptoKeyVersion.externalProtectionLevelOptions.ekmConnectionBackendOverride` `cryptoKeyVersion.externalProtectionLevelOptions.externalKeyUri` `ekmConnection.cryptoSpacePath` `ekmConnection.serviceResolvers.endpointFilter` `ekmConnection.serviceResolvers.hostname` `ekmConnection.serviceResolvers.serviceDirectoryService`
フィルタリングと並べ替え	`filter` `orderBy`
HSM インスタンスの提案	`singleTenantHsmInstanceProposal.addQuorumMember.twoFactorPublicKeyPem` `singleTenantHsmInstanceProposal.name` `singleTenantHsmInstanceProposal.registerTwoFactorAuthKeys.twoFactorPublicKeyPems` `singleTenantHsmInstanceProposal.removeQuorumMember.twoFactorPublicKeyPem` `singleTenantHsmInstanceProposal.upgradeKeyTrust.twoFactorPublicKeyPem`
インポートジョブの詳細	`importJob.cryptoKeyBackend` `importingKey`
鍵ハンドルの管理	`keyHandle.resourceTypeSelector` `keyHandleId`
鍵管理の構成	`autokeyConfig.name` `ekmConfig.defaultEkmConnection` `keyAccessJustificationsPolicyConfig.name` `wrappingKey`
ページ分け	`pageToken`
リソースの ID	`cryptoKeyVersionId` `ekmConnectionId` `name` `parent` `project` `singleTenantHsmInstanceId`

FedRAMP Moderate のデータ境界

サポート対象のサービス

次の表に、FedRAMP Moderate の Data Boundary の要件を満たす Cloud Key Management Service API とバージョンを示します。

サービス	バージョン	ステータス
cloudkms.googleapis.com	v1	サポート対象

機密データの API フィールド

リソース: cloudkms.googleapis.com/CryptoKey

次の表に、FedRAMP Moderate の Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド	保護されたフィールド
サービス: `cloudkms.googleapis.com` REST API: `GET` `/v1/{parent=projects//locations//keyRings/*}/cryptoKeys` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.ListCryptoKeys`	`filter` `orderBy`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys/*}:encrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Encrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataChecksum.crc32c.value` `additionalAuthenticatedDataCrc32c.value` `plaintext` `plaintextChecksum.crc32c.value` `plaintextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys/}:decrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Decrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{parent=projects//locations//keyRings/*}/cryptoKeys` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.CreateCryptoKey`	`cryptoKeyId`

リソース: cloudkms.googleapis.com/CryptoKeyVersion

次の表に、FedRAMP Moderate の Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド	保護されたフィールド
サービス: `cloudkms.googleapis.com` REST API: `GET` `/v1/{parent=projects//locations//keyRings//cryptoKeys/}/cryptoKeyVersions` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.ListCryptoKeyVersions`	`filter` `orderBy`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:asymmetricDecrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.AsymmetricDecrypt`	`ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:asymmetricSign` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.AsymmetricSign`	`data` `dataCrc32c.value` `digest.externalMu` `digest.sha256` `digest.sha384` `digest.sha512` `digestCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:decapsulate` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Decapsulate`	`ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:macSign` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.MacSign`	`data` `dataCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:macVerify` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.MacVerify`	`data` `dataCrc32c.value` `mac` `macCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:rawDecrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.RawDecrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `ciphertext` `ciphertextCrc32c.value` `initializationVector` `initializationVectorCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:rawEncrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.RawEncrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `initializationVector` `initializationVectorCrc32c.value` `plaintext` `plaintextCrc32c.value`

リソース: cloudkms.googleapis.com/ImportJob

次の表に、FedRAMP Moderate の Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{name=projects/*/locations/*/keyRings/*/importJobs/*}

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GetImportJob

publicKeyFormat

サービス: cloudkms.googleapis.com

REST API: GET /v1/{parent=projects/*/locations/*/keyRings/*}/importJobs

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.ListImportJobs

filter
orderBy

サービス: cloudkms.googleapis.com

REST API: POST /v1/{parent=projects/*/locations/*/keyRings/*}/importJobs

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.CreateImportJob

importJobId

リソース: cloudkms.googleapis.com/KeyRing

次の表に、FedRAMP Moderate の Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{parent=projects/*/locations/*}/keyRings

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.ListKeyRings

filter
orderBy

サービス: cloudkms.googleapis.com

REST API: POST /v1/{parent=projects/*/locations/*}/keyRings

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.CreateKeyRing

keyRingId

リソース: cloudkms.googleapis.com/Location

次の表に、FedRAMP Moderate の Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: POST /v1/{location=projects/*/locations/*}:generateRandomBytes

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GenerateRandomBytes

lengthBytes
location
protectionLevel

リソース: cloudkms.googleapis.com/PublicKey

次の表に、FedRAMP Moderate の Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{name=projects/*/locations/*/keyRings/*/cryptoKeys/*/cryptoKeyVersions/*}/publicKey

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GetPublicKey

publicKeyFormat

機密データ用ではないフィールド

カテゴリ	フィールド
アクセス制御とポリシー	`ekmConnection.serviceResolvers.endpointFilter` `ekmConnection.serviceResolvers.hostname` `ekmConnection.serviceResolvers.serviceDirectoryService` `keyAccessJustificationsPolicyConfig.name`
EKM 接続の詳細	`ekmConnection.cryptoSpacePath` `ekmConnection.etag` `ekmConnectionId`
インポートとエクスポートのオペレーション	`importJob` `importingKey` `wrappingKey`
鍵管理の構成	`autokeyConfig.keyProject` `cryptoKey.cryptoKeyBackend` `ekmConfig.defaultEkmConnection`
鍵バージョンの管理	`cryptoKeyVersion.externalProtectionLevelOptions.ekmConnectionKeyPath` `cryptoKeyVersion.externalProtectionLevelOptions.externalKeyUri`
ラベル付けとメタデータ	`callerProvidedContext.fields.key` `callerProvidedContext.fields.value.stringValue` `cryptoKey.labels.key` `cryptoKey.labels.value`
ページネーションとフィルタリング	`filter` `orderBy` `pageToken`
定足数と多要素認証	`quorumReply.challengeReplies.publicKeyPem` `requiredActionQuorumReply.requiredChallengeReplies.publicKeyPem` `singleTenantHsmInstanceProposal.addQuorumMember.twoFactorPublicKeyPem` `singleTenantHsmInstanceProposal.registerTwoFactorAuthKeys.twoFactorPublicKeyPems` `singleTenantHsmInstanceProposal.removeQuorumMember.twoFactorPublicKeyPem` `singleTenantHsmInstanceProposal.upgradeKeyTrust.twoFactorPublicKeyPem`
リソースの ID	`name` `parent` `project`
リソース固有の ID	`cryptoKeyVersionId` `keyHandleId` `singleTenantHsmInstanceId` `singleTenantHsmInstanceProposalId`

IRS パブリケーション 1075 用のデータ境界

サポート対象のサービス

次の表に、IRS Publication 1075 の Data Boundary の要件を満たす Cloud Key Management Service API とバージョンを示します。

サービス	バージョン	ステータス
cloudkms.googleapis.com	v1	サポート対象

コンプライアンスがサポートされているリージョン

Cloud Key Management Service は、次の Google Cloud リージョンで IRS パブリケーション 1075 用の Data Boundary に使用できます。

us-east1
us-east4
us-west2
us-west1
us-central1
us-west3
us-central2
us-west4
us-east5
us-south1

機密データの API フィールド

リソース: cloudkms.googleapis.com/CryptoKey

次の表に、IRS パブリケーション 1075 の Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド	保護されたフィールド
サービス: `cloudkms.googleapis.com` REST API: `GET` `/v1/{parent=projects//locations//keyRings/*}/cryptoKeys` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.ListCryptoKeys`	`filter` `orderBy`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys/*}:encrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Encrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataChecksum.crc32c.value` `additionalAuthenticatedDataCrc32c.value` `plaintext` `plaintextChecksum.crc32c.value` `plaintextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys/}:decrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Decrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{parent=projects//locations//keyRings/*}/cryptoKeys` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.CreateCryptoKey`	`cryptoKeyId`

リソース: cloudkms.googleapis.com/CryptoKeyVersion

次の表に、IRS パブリケーション 1075 の Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド	保護されたフィールド
サービス: `cloudkms.googleapis.com` REST API: `GET` `/v1/{parent=projects//locations//keyRings//cryptoKeys/}/cryptoKeyVersions` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.ListCryptoKeyVersions`	`filter` `orderBy`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:asymmetricDecrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.AsymmetricDecrypt`	`ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:asymmetricSign` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.AsymmetricSign`	`data` `dataCrc32c.value` `digest.externalMu` `digest.sha256` `digest.sha384` `digest.sha512` `digestCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:decapsulate` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Decapsulate`	`ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:macSign` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.MacSign`	`data` `dataCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:macVerify` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.MacVerify`	`data` `dataCrc32c.value` `mac` `macCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:rawDecrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.RawDecrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `ciphertext` `ciphertextCrc32c.value` `initializationVector` `initializationVectorCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:rawEncrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.RawEncrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `initializationVector` `initializationVectorCrc32c.value` `plaintext` `plaintextCrc32c.value`

リソース: cloudkms.googleapis.com/ImportJob

次の表に、IRS パブリケーション 1075 の Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{name=projects/*/locations/*/keyRings/*/importJobs/*}

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GetImportJob

publicKeyFormat

サービス: cloudkms.googleapis.com

REST API: GET /v1/{parent=projects/*/locations/*/keyRings/*}/importJobs

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.ListImportJobs

filter
orderBy

サービス: cloudkms.googleapis.com

REST API: POST /v1/{parent=projects/*/locations/*/keyRings/*}/importJobs

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.CreateImportJob

importJobId

リソース: cloudkms.googleapis.com/KeyRing

次の表に、IRS パブリケーション 1075 の Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{parent=projects/*/locations/*}/keyRings

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.ListKeyRings

filter
orderBy

サービス: cloudkms.googleapis.com

REST API: POST /v1/{parent=projects/*/locations/*}/keyRings

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.CreateKeyRing

keyRingId

リソース: cloudkms.googleapis.com/Location

次の表に、IRS パブリケーション 1075 の Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: POST /v1/{location=projects/*/locations/*}:generateRandomBytes

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GenerateRandomBytes

lengthBytes
location
protectionLevel

リソース: cloudkms.googleapis.com/PublicKey

次の表に、IRS パブリケーション 1075 の Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{name=projects/*/locations/*/keyRings/*/cryptoKeys/*/cryptoKeyVersions/*}/publicKey

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GetPublicKey

publicKeyFormat

機密データ用ではないフィールド

カテゴリ	フィールド
コンテキスト情報	`callerProvidedContext.fields.key` `callerProvidedContext.fields.value.stringValue`
EKM 接続の詳細	`ekmConfig.defaultEkmConnection` `ekmConnection.cryptoSpacePath` `ekmConnection.serviceResolvers.endpointFilter` `ekmConnection.serviceResolvers.hostname` `ekmConnection.serviceResolvers.serviceDirectoryService`
フィルタリングと並べ替え	`filter` `orderBy` `pageToken`
鍵アクセス制御	`cryptoKeyVersion` `cryptoKeyVersion.externalProtectionLevelOptions.ekmConnectionBackendOverride` `cryptoKeyVersion.externalProtectionLevelOptions.ekmConnectionKeyPath` `cryptoKeyVersion.externalProtectionLevelOptions.externalKeyUri` `keyAccessJustificationsPolicyConfig.name` `wrappingKey`
鍵ハンドルの詳細	`keyHandle.name` `keyHandle.resourceTypeSelector` `keyHandleId`
鍵管理の構成	`autokeyConfig.etag` `autokeyConfig.keyProject` `cryptoKey.cryptoKeyBackend` `ekmConnection.etag` `importJob.cryptoKeyBackend`
鍵バージョンの管理	`cryptoKey` `cryptoKeyVersion` `importJob`
ラベルとメタデータ	`cryptoKey.labels.key` `cryptoKey.labels.value`
クォーラムと信頼の管理	`quorumReply.challengeReplies.publicKeyPem` `requiredActionQuorumReply.requiredChallengeReplies.publicKeyPem` `singleTenantHsmInstanceProposal.addQuorumMember.twoFactorPublicKeyPem` `singleTenantHsmInstanceProposal.registerTwoFactorAuthKeys.twoFactorPublicKeyPems` `singleTenantHsmInstanceProposal.removeQuorumMember.twoFactorPublicKeyPem`
リソースの ID	`cryptoKeyVersionId` `name` `parent` `project` `singleTenantHsmInstanceId` `singleTenantHsmInstanceProposalId`

ITAR の Data Boundary

サポート対象のサービス

次の表に、ITAR の Data Boundary の要件を満たす Cloud Key Management Service API とバージョンを示します。

サービス	バージョン	ステータス
cloudkms.googleapis.com	v1	サポート対象

コンプライアンスがサポートされているリージョン

Cloud Key Management Service は、次の Google Cloud リージョンで ITAR の Data Boundary に使用できます。

us-east1
us-east4
us-west2
us-west1
us-central1
us-west3
us-central2
us-west4
us-east5
us-south1

機密データの API フィールド

リソース: cloudkms.googleapis.com/CryptoKey

次の表に、ITAR の Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド	保護されたフィールド
サービス: `cloudkms.googleapis.com` REST API: `GET` `/v1/{parent=projects//locations//keyRings/*}/cryptoKeys` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.ListCryptoKeys`	`filter` `orderBy`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys/*}:encrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Encrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataChecksum.crc32c.value` `additionalAuthenticatedDataCrc32c.value` `plaintext` `plaintextChecksum.crc32c.value` `plaintextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys/}:decrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Decrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{parent=projects//locations//keyRings/*}/cryptoKeys` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.CreateCryptoKey`	`cryptoKeyId`

リソース: cloudkms.googleapis.com/CryptoKeyVersion

次の表に、ITAR の Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド	保護されたフィールド
サービス: `cloudkms.googleapis.com` REST API: `GET` `/v1/{parent=projects//locations//keyRings//cryptoKeys/}/cryptoKeyVersions` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.ListCryptoKeyVersions`	`filter` `orderBy`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:asymmetricDecrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.AsymmetricDecrypt`	`ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:asymmetricSign` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.AsymmetricSign`	`data` `dataCrc32c.value` `digest.externalMu` `digest.sha256` `digest.sha384` `digest.sha512` `digestCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:decapsulate` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Decapsulate`	`ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:macSign` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.MacSign`	`data` `dataCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:macVerify` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.MacVerify`	`data` `dataCrc32c.value` `mac` `macCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:rawDecrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.RawDecrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `ciphertext` `ciphertextCrc32c.value` `initializationVector` `initializationVectorCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:rawEncrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.RawEncrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `initializationVector` `initializationVectorCrc32c.value` `plaintext` `plaintextCrc32c.value`

リソース: cloudkms.googleapis.com/ImportJob

次の表に、ITAR の Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{name=projects/*/locations/*/keyRings/*/importJobs/*}

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GetImportJob

publicKeyFormat

サービス: cloudkms.googleapis.com

REST API: GET /v1/{parent=projects/*/locations/*/keyRings/*}/importJobs

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.ListImportJobs

filter
orderBy

サービス: cloudkms.googleapis.com

REST API: POST /v1/{parent=projects/*/locations/*/keyRings/*}/importJobs

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.CreateImportJob

importJobId

リソース: cloudkms.googleapis.com/KeyRing

次の表に、ITAR の Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{parent=projects/*/locations/*}/keyRings

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.ListKeyRings

filter
orderBy

サービス: cloudkms.googleapis.com

REST API: POST /v1/{parent=projects/*/locations/*}/keyRings

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.CreateKeyRing

keyRingId

リソース: cloudkms.googleapis.com/Location

次の表に、ITAR の Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: POST /v1/{location=projects/*/locations/*}:generateRandomBytes

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GenerateRandomBytes

lengthBytes
location
protectionLevel

リソース: cloudkms.googleapis.com/PublicKey

次の表に、ITAR の Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{name=projects/*/locations/*/keyRings/*/cryptoKeys/*/cryptoKeyVersions/*}/publicKey

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GetPublicKey

publicKeyFormat

機密データ用ではないフィールド

カテゴリ	フィールド
コンテキスト情報	`callerProvidedContext.fields.key` `callerProvidedContext.fields.value.stringValue`
外部鍵管理（ekm）の構成	`ekmConfig.defaultEkmConnection` `ekmConnection.cryptoSpacePath` `ekmConnection.etag` `ekmConnection.serviceResolvers.hostname` `ekmConnection.serviceResolvers.serviceDirectoryService`
フィルタリングとページネーション	`filter` `orderBy` `pageToken`
鍵アクセス制御	`keyAccessJustificationsPolicyConfig.name`
主な属性	`cryptoKey.cryptoKeyBackend` `cryptoKey.labels.key` `cryptoKey.labels.value`
鍵ハンドルの管理	`keyHandle.resourceTypeSelector` `keyHandleId`
鍵のインポートとラッピング	`importJob` `importJob.cryptoKeyBackend` `wrappingKey`
鍵バージョンの管理	`cryptoKeyVersion` `cryptoKeyVersion.externalProtectionLevelOptions.externalKeyUri` `cryptoKeyVersionId`
定足数とセキュリティに関する提案	`quorumReply.challengeReplies.publicKeyPem` `requiredActionQuorumReply.requiredChallengeReplies.publicKeyPem` `singleTenantHsmInstanceProposal.addQuorumMember.twoFactorPublicKeyPem` `singleTenantHsmInstanceProposal.removeQuorumMember.twoFactorPublicKeyPem` `singleTenantHsmInstanceProposal.upgradeKeyTrust.name`
リソースの ID	`name` `parent` `project`

影響レベル 2（IL2）のデータ境界

サポート対象のサービス

次の表に、インパクトレベル 2（IL2）の Data Boundary の要件を満たす Cloud Key Management Service API とバージョンを示します。

サービス	バージョン	ステータス
cloudkms.googleapis.com	v1	サポート対象

コンプライアンスがサポートされているリージョン

Cloud Key Management Service は、次の Google Cloud リージョンで影響レベル 2（IL2）の Data Boundary に使用できます。

us-east1
us-east4
us-west2
us-west1
us-central1
us-west3
us-central2
us-west4
us-east5
us-south1

機密データの API フィールド

リソース: cloudkms.googleapis.com/CryptoKey

次の表に、影響レベル 2（IL2）の Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド	保護されたフィールド
サービス: `cloudkms.googleapis.com` REST API: `GET` `/v1/{parent=projects//locations//keyRings/*}/cryptoKeys` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.ListCryptoKeys`	`filter` `orderBy`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys/*}:encrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Encrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataChecksum.crc32c.value` `additionalAuthenticatedDataCrc32c.value` `plaintext` `plaintextChecksum.crc32c.value` `plaintextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys/}:decrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Decrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{parent=projects//locations//keyRings/*}/cryptoKeys` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.CreateCryptoKey`	`cryptoKeyId`

リソース: cloudkms.googleapis.com/CryptoKeyVersion

次の表に、影響レベル 2（IL2）の Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド	保護されたフィールド
サービス: `cloudkms.googleapis.com` REST API: `GET` `/v1/{parent=projects//locations//keyRings//cryptoKeys/}/cryptoKeyVersions` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.ListCryptoKeyVersions`	`filter` `orderBy`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:asymmetricDecrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.AsymmetricDecrypt`	`ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:asymmetricSign` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.AsymmetricSign`	`data` `dataCrc32c.value` `digest.externalMu` `digest.sha256` `digest.sha384` `digest.sha512` `digestCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:decapsulate` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Decapsulate`	`ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:macSign` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.MacSign`	`data` `dataCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:macVerify` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.MacVerify`	`data` `dataCrc32c.value` `mac` `macCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:rawDecrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.RawDecrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `ciphertext` `ciphertextCrc32c.value` `initializationVector` `initializationVectorCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:rawEncrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.RawEncrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `initializationVector` `initializationVectorCrc32c.value` `plaintext` `plaintextCrc32c.value`

リソース: cloudkms.googleapis.com/ImportJob

次の表に、影響レベル 2（IL2）の Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{name=projects/*/locations/*/keyRings/*/importJobs/*}

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GetImportJob

publicKeyFormat

サービス: cloudkms.googleapis.com

REST API: GET /v1/{parent=projects/*/locations/*/keyRings/*}/importJobs

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.ListImportJobs

filter
orderBy

サービス: cloudkms.googleapis.com

REST API: POST /v1/{parent=projects/*/locations/*/keyRings/*}/importJobs

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.CreateImportJob

importJobId

リソース: cloudkms.googleapis.com/KeyRing

次の表に、影響レベル 2（IL2）の Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{parent=projects/*/locations/*}/keyRings

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.ListKeyRings

filter
orderBy

サービス: cloudkms.googleapis.com

REST API: POST /v1/{parent=projects/*/locations/*}/keyRings

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.CreateKeyRing

keyRingId

リソース: cloudkms.googleapis.com/Location

次の表に、影響レベル 2（IL2）の Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: POST /v1/{location=projects/*/locations/*}:generateRandomBytes

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GenerateRandomBytes

lengthBytes
location
protectionLevel

リソース: cloudkms.googleapis.com/PublicKey

次の表に、影響レベル 2（IL2）の Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{name=projects/*/locations/*/keyRings/*/cryptoKeys/*/cryptoKeyVersions/*}/publicKey

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GetPublicKey

publicKeyFormat

機密データ用ではないフィールド

カテゴリ	フィールド
アクセス制御と権限	`cryptoKey.cryptoKeyBackend` `cryptoKey.labels.key` `cryptoKey.labels.value` `keyAccessJustificationsPolicyConfig.name` `wrappingKey`
コンテキスト情報	`callerProvidedContext.fields.key` `callerProvidedContext.fields.value.stringValue`
フィルタリングと並べ替え	`filter` `orderBy`
インポートジョブの構成	`importJob.cryptoKeyBackend` `importingKey`
鍵管理の構成	`autokeyConfig.keyProject` `ekmConfig.defaultEkmConnection` `ekmConnection.cryptoSpacePath` `ekmConnection.serviceResolvers.hostname` `ekmConnection.serviceResolvers.serviceDirectoryService`
鍵バージョンの構成	`cryptoKeyVersion.externalProtectionLevelOptions.ekmConnectionBackendOverride` `cryptoKeyVersion.externalProtectionLevelOptions.ekmConnectionKeyPath` `cryptoKeyVersion.externalProtectionLevelOptions.externalKeyUri`
ページ分け	`pageToken`
定足数とセキュリティに関する提案	`quorumReply.challengeReplies.publicKeyPem` `requiredActionQuorumReply.requiredChallengeReplies.publicKeyPem` `singleTenantHsmInstanceProposal.addQuorumMember.twoFactorPublicKeyPem` `singleTenantHsmInstanceProposal.registerTwoFactorAuthKeys.twoFactorPublicKeyPems` `singleTenantHsmInstanceProposal.upgradeKeyTrust.twoFactorPublicKeyPem`
リソースの ID	`name` `parent` `project`
更新マスク	`updateMask.paths`

影響レベル 4（IL4）のデータ境界

サポート対象のサービス

次の表に、インパクトレベル 4（IL4）の Data Boundary の要件を満たす Cloud Key Management Service API とバージョンを示します。

サービス	バージョン	ステータス
cloudkms.googleapis.com	v1	サポート対象

コンプライアンスがサポートされているリージョン

Cloud Key Management Service は、次の Google Cloud リージョンで影響レベル 4（IL4）の Data Boundary に使用できます。

us-east1
us-east4
us-west2
us-west1
us-central1
us-west3
us-central2
us-west4
us-east5
us-south1

適用可能な設定

次の表に、影響レベル 4（IL4）の Data Boundary に適用される組織のポリシーの制約とプロダクト設定を示します。デフォルトでは、これらは Assured Workloads によって設定されます。これらの設定を変更する場合は、まずその変更がコンプライアンスステータスに与える影響を検討する必要があります。組織のポリシーの構成手順については、組織のポリシーの作成と管理をご覧ください。

設定	必須の値
cloudkms.allowedProtectionLevels	`Allowed: SOFTWARE` `Allowed: HSM` `Allowed: EXTERNAL` `Allowed: EXTERNAL_VPC`

機密データの API フィールド

リソース: cloudkms.googleapis.com/CryptoKey

次の表に、影響レベル 4（IL4）の Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド	保護されたフィールド
サービス: `cloudkms.googleapis.com` REST API: `GET` `/v1/{parent=projects//locations//keyRings/*}/cryptoKeys` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.ListCryptoKeys`	`filter` `orderBy`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys/*}:encrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Encrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataChecksum.crc32c.value` `additionalAuthenticatedDataCrc32c.value` `plaintext` `plaintextChecksum.crc32c.value` `plaintextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys/}:decrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Decrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{parent=projects//locations//keyRings/*}/cryptoKeys` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.CreateCryptoKey`	`cryptoKeyId`

リソース: cloudkms.googleapis.com/CryptoKeyVersion

次の表に、影響レベル 4（IL4）の Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド	保護されたフィールド
サービス: `cloudkms.googleapis.com` REST API: `GET` `/v1/{parent=projects//locations//keyRings//cryptoKeys/}/cryptoKeyVersions` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.ListCryptoKeyVersions`	`filter` `orderBy`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:asymmetricDecrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.AsymmetricDecrypt`	`ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:asymmetricSign` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.AsymmetricSign`	`data` `dataCrc32c.value` `digest.externalMu` `digest.sha256` `digest.sha384` `digest.sha512` `digestCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:decapsulate` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Decapsulate`	`ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:macSign` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.MacSign`	`data` `dataCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:macVerify` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.MacVerify`	`data` `dataCrc32c.value` `mac` `macCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:rawDecrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.RawDecrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `ciphertext` `ciphertextCrc32c.value` `initializationVector` `initializationVectorCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:rawEncrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.RawEncrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `initializationVector` `initializationVectorCrc32c.value` `plaintext` `plaintextCrc32c.value`

リソース: cloudkms.googleapis.com/ImportJob

次の表に、影響レベル 4（IL4）の Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{name=projects/*/locations/*/keyRings/*/importJobs/*}

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GetImportJob

publicKeyFormat

サービス: cloudkms.googleapis.com

REST API: GET /v1/{parent=projects/*/locations/*/keyRings/*}/importJobs

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.ListImportJobs

filter
orderBy

サービス: cloudkms.googleapis.com

REST API: POST /v1/{parent=projects/*/locations/*/keyRings/*}/importJobs

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.CreateImportJob

importJobId

リソース: cloudkms.googleapis.com/KeyRing

次の表に、影響レベル 4（IL4）の Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{parent=projects/*/locations/*}/keyRings

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.ListKeyRings

filter
orderBy

サービス: cloudkms.googleapis.com

REST API: POST /v1/{parent=projects/*/locations/*}/keyRings

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.CreateKeyRing

keyRingId

リソース: cloudkms.googleapis.com/Location

次の表に、影響レベル 4（IL4）の Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: POST /v1/{location=projects/*/locations/*}:generateRandomBytes

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GenerateRandomBytes

lengthBytes
location
protectionLevel

リソース: cloudkms.googleapis.com/PublicKey

次の表に、影響レベル 4（IL4）の Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{name=projects/*/locations/*/keyRings/*/cryptoKeys/*/cryptoKeyVersions/*}/publicKey

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GetPublicKey

publicKeyFormat

機密データ用ではないフィールド

カテゴリ	フィールド
アクセス制御と権限	`keyHandle.resourceTypeSelector` `wrappingKey`
コンテキスト情報	`callerProvidedContext.fields.key` `callerProvidedContext.fields.value.stringValue`
フィルタリングと並べ替え	`filter` `orderBy`
キー識別子	`cryptoKeyVersionId` `ekmConnectionId` `keyHandleId` `singleTenantHsmInstanceId` `singleTenantHsmInstanceProposalId`
鍵管理の構成	`autokeyConfig.keyProject` `cryptoKey.cryptoKeyBackend` `ekmConnection.cryptoSpacePath` `ekmConnection.serviceResolvers.hostname` `ekmConnection.serviceResolvers.serviceDirectoryService` `importJob.cryptoKeyBackend`
鍵バージョンの構成	`cryptoKeyVersion.externalProtectionLevelOptions.ekmConnectionKeyPath` `cryptoKeyVersion.externalProtectionLevelOptions.externalKeyUri`
ページ分け	`pageToken`
クォーラムと信頼の管理	`quorumReply.challengeReplies.publicKeyPem` `requiredActionQuorumReply.requiredChallengeReplies.publicKeyPem` `singleTenantHsmInstanceProposal.addQuorumMember.twoFactorPublicKeyPem` `singleTenantHsmInstanceProposal.registerTwoFactorAuthKeys.twoFactorPublicKeyPems` `singleTenantHsmInstanceProposal.removeQuorumMember.twoFactorPublicKeyPem` `singleTenantHsmInstanceProposal.upgradeKeyTrust.twoFactorPublicKeyPem`
リソースの ID	`name` `parent` `project`
アップデートの制御	`autokeyConfig.etag` `ekmConnection.etag` `updateMask.paths`

影響レベル 5（IL5）のデータ境界

サポート対象のサービス

次の表に、インパクトレベル 5（IL5）の Data Boundary の要件を満たす Cloud Key Management Service API とバージョンを示します。

サービス	バージョン	ステータス
cloudkms.googleapis.com	v1	サポート対象

コンプライアンスがサポートされているリージョン

Cloud Key Management Service は、次の Google Cloud リージョンで影響レベル 5（IL5）の Data Boundary に使用できます。

us-east1
us-east4
us-west2
us-west1
us-central1
us-west3
us-central2
us-west4
us-east5
us-south1

適用可能な設定

次の表に、影響レベル 5（IL5）の Data Boundary に適用される組織のポリシーの制約とプロダクト設定を示します。デフォルトでは、これらは Assured Workloads によって設定されます。これらの設定を変更する場合は、まずその変更がコンプライアンスステータスに与える影響を検討する必要があります。組織のポリシーの構成手順については、組織のポリシーの作成と管理をご覧ください。

設定	必須の値
cloudkms.allowedProtectionLevels	`Allowed: SOFTWARE` `Allowed: HSM` `Allowed: EXTERNAL` `Allowed: EXTERNAL_VPC`

機密データの API フィールド

リソース: cloudkms.googleapis.com/CryptoKey

次の表に、影響レベル 5（IL5）の Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド	保護されたフィールド
サービス: `cloudkms.googleapis.com` REST API: `GET` `/v1/{parent=projects//locations//keyRings/*}/cryptoKeys` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.ListCryptoKeys`	`filter` `orderBy`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys/*}:encrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Encrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataChecksum.crc32c.value` `additionalAuthenticatedDataCrc32c.value` `plaintext` `plaintextChecksum.crc32c.value` `plaintextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys/}:decrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Decrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{parent=projects//locations//keyRings/*}/cryptoKeys` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.CreateCryptoKey`	`cryptoKeyId`

リソース: cloudkms.googleapis.com/CryptoKeyVersion

次の表に、影響レベル 5（IL5）の Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド	保護されたフィールド
サービス: `cloudkms.googleapis.com` REST API: `GET` `/v1/{parent=projects//locations//keyRings//cryptoKeys/}/cryptoKeyVersions` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.ListCryptoKeyVersions`	`filter` `orderBy`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:asymmetricDecrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.AsymmetricDecrypt`	`ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:asymmetricSign` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.AsymmetricSign`	`data` `dataCrc32c.value` `digest.externalMu` `digest.sha256` `digest.sha384` `digest.sha512` `digestCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:decapsulate` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Decapsulate`	`ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:macSign` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.MacSign`	`data` `dataCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:macVerify` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.MacVerify`	`data` `dataCrc32c.value` `mac` `macCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:rawDecrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.RawDecrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `ciphertext` `ciphertextCrc32c.value` `initializationVector` `initializationVectorCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:rawEncrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.RawEncrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `initializationVector` `initializationVectorCrc32c.value` `plaintext` `plaintextCrc32c.value`

リソース: cloudkms.googleapis.com/ImportJob

次の表に、影響レベル 5（IL5）の Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{name=projects/*/locations/*/keyRings/*/importJobs/*}

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GetImportJob

publicKeyFormat

サービス: cloudkms.googleapis.com

REST API: GET /v1/{parent=projects/*/locations/*/keyRings/*}/importJobs

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.ListImportJobs

filter
orderBy

サービス: cloudkms.googleapis.com

REST API: POST /v1/{parent=projects/*/locations/*/keyRings/*}/importJobs

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.CreateImportJob

importJobId

リソース: cloudkms.googleapis.com/KeyRing

次の表に、影響レベル 5（IL5）の Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{parent=projects/*/locations/*}/keyRings

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.ListKeyRings

filter
orderBy

サービス: cloudkms.googleapis.com

REST API: POST /v1/{parent=projects/*/locations/*}/keyRings

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.CreateKeyRing

keyRingId

リソース: cloudkms.googleapis.com/Location

次の表に、影響レベル 5（IL5）の Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: POST /v1/{location=projects/*/locations/*}:generateRandomBytes

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GenerateRandomBytes

lengthBytes
location
protectionLevel

リソース: cloudkms.googleapis.com/PublicKey

次の表に、影響レベル 5（IL5）の Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{name=projects/*/locations/*/keyRings/*/cryptoKeys/*/cryptoKeyVersions/*}/publicKey

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GetPublicKey

publicKeyFormat

機密データ用ではないフィールド

カテゴリ	フィールド
アクセス制御とポリシー	`cryptoKey.cryptoKeyBackend` `cryptoKey.labels.key` `cryptoKey.labels.value` `ekmConnection.etag` `ekmConnection.serviceResolvers.endpointFilter` `keyAccessJustificationsPolicyConfig.name`
コンテキスト情報	`callerProvidedContext.fields.key` `callerProvidedContext.fields.value.stringValue`
フィルタリングと並べ替え	`filter` `orderBy`
キーの構成	`autokeyConfig.keyProject` `ekmConnection.cryptoSpacePath` `ekmConnection.serviceResolvers.hostname` `ekmConnection.serviceResolvers.serviceDirectoryService` `importJob.cryptoKeyBackend`
鍵バージョンの構成	`cryptoKeyVersion` `cryptoKeyVersion.externalProtectionLevelOptions.ekmConnectionKeyPath` `cryptoKeyVersion.externalProtectionLevelOptions.externalKeyUri` `wrappingKey`
オブジェクトの識別	`cryptoKeyVersionId` `ekmConnectionId` `keyHandleId`
Paging	`pageToken`
定足数と多要素認証	`quorumReply.challengeReplies.publicKeyPem` `requiredActionQuorumReply.requiredChallengeReplies.publicKeyPem` `singleTenantHsmInstanceProposal.addQuorumMember.twoFactorPublicKeyPem` `singleTenantHsmInstanceProposal.registerTwoFactorAuthKeys.twoFactorPublicKeyPems` `singleTenantHsmInstanceProposal.removeQuorumMember.twoFactorPublicKeyPem` `singleTenantHsmInstanceProposal.upgradeKeyTrust.twoFactorPublicKeyPem`
リソースの ID	`name` `parent` `project` `singleTenantHsmInstanceId` `singleTenantHsmInstanceProposalId`
更新マスク	`updateMask.paths`

Access Justifications に基づく EU の Data Boundary

サポート対象のサービス

次の表に、アクセス理由付きの EU Data Boundary の要件を満たす Cloud Key Management Service API とバージョンを示します。

サービス	バージョン	ステータス
cloudkms.googleapis.com	v1	サポート対象

コンプライアンスがサポートされているリージョン

Cloud Key Management Service は、次の Google Cloud リージョンでアクセス正当化を使用して EU Data Boundary で利用できます。

europe-west8
europe-west9
europe-west3

適用可能な設定

次の表は、Access Justifications に基づく EU の Data Boundary に適用される組織のポリシーの制約とプロダクト設定を示しています。デフォルトでは、これらは Assured Workloads によって設定されます。これらの設定を変更する場合は、まずその変更がコンプライアンスステータスに与える影響を検討する必要があります。組織のポリシーの構成手順については、組織のポリシーの作成と管理をご覧ください。

設定	必須の値
cloudkms.allowedProtectionLevels	`Allowed: EXTERNAL` `Allowed: EXTERNAL_VPC`

機密データの API フィールド

リソース: cloudkms.googleapis.com/CryptoKey

次の表に、アクセス理由付きの EU Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド	保護されたフィールド
サービス: `cloudkms.googleapis.com` REST API: `GET` `/v1/{parent=projects//locations//keyRings/*}/cryptoKeys` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.ListCryptoKeys`	`filter` `orderBy`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys/*}:encrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Encrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataChecksum.crc32c.value` `additionalAuthenticatedDataCrc32c.value` `plaintext` `plaintextChecksum.crc32c.value` `plaintextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys/}:decrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Decrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{parent=projects//locations//keyRings/*}/cryptoKeys` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.CreateCryptoKey`	`cryptoKeyId`

リソース: cloudkms.googleapis.com/CryptoKeyVersion

次の表に、アクセス理由付きの EU Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド	保護されたフィールド
サービス: `cloudkms.googleapis.com` REST API: `GET` `/v1/{parent=projects//locations//keyRings//cryptoKeys/}/cryptoKeyVersions` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.ListCryptoKeyVersions`	`filter` `orderBy`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:asymmetricDecrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.AsymmetricDecrypt`	`ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:asymmetricSign` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.AsymmetricSign`	`data` `dataCrc32c.value` `digest.externalMu` `digest.sha256` `digest.sha384` `digest.sha512` `digestCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:decapsulate` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Decapsulate`	`ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:macSign` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.MacSign`	`data` `dataCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:macVerify` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.MacVerify`	`data` `dataCrc32c.value` `mac` `macCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:rawDecrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.RawDecrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `ciphertext` `ciphertextCrc32c.value` `initializationVector` `initializationVectorCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:rawEncrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.RawEncrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `initializationVector` `initializationVectorCrc32c.value` `plaintext` `plaintextCrc32c.value`

リソース: cloudkms.googleapis.com/ImportJob

次の表に、アクセス理由付きの EU Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{name=projects/*/locations/*/keyRings/*/importJobs/*}

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GetImportJob

publicKeyFormat

サービス: cloudkms.googleapis.com

REST API: GET /v1/{parent=projects/*/locations/*/keyRings/*}/importJobs

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.ListImportJobs

filter
orderBy

サービス: cloudkms.googleapis.com

REST API: POST /v1/{parent=projects/*/locations/*/keyRings/*}/importJobs

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.CreateImportJob

importJobId

リソース: cloudkms.googleapis.com/KeyRing

次の表に、アクセス理由付きの EU Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{parent=projects/*/locations/*}/keyRings

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.ListKeyRings

filter
orderBy

サービス: cloudkms.googleapis.com

REST API: POST /v1/{parent=projects/*/locations/*}/keyRings

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.CreateKeyRing

keyRingId

リソース: cloudkms.googleapis.com/Location

次の表に、アクセス理由付きの EU Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: POST /v1/{location=projects/*/locations/*}:generateRandomBytes

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GenerateRandomBytes

lengthBytes
location
protectionLevel

リソース: cloudkms.googleapis.com/PublicKey

次の表に、アクセス理由付きの EU Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{name=projects/*/locations/*/keyRings/*/cryptoKeys/*/cryptoKeyVersions/*}/publicKey

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GetPublicKey

publicKeyFormat

機密データ用ではないフィールド

カテゴリ	フィールド
Autokey 構成	`autokeyConfig.etag` `autokeyConfig.keyProject` `autokeyConfig.name`
コンテキスト情報	`callerProvidedContext.fields.key` `callerProvidedContext.fields.value.stringValue`
Ekm 接続サービス解決	`ekmConnection.serviceResolvers.endpointFilter` `ekmConnection.serviceResolvers.hostname` `ekmConnection.serviceResolvers.serviceDirectoryService`
外部キーの統合	`cryptoKeyVersion.externalProtectionLevelOptions.ekmConnectionBackendOverride` `cryptoKeyVersion.externalProtectionLevelOptions.ekmConnectionKeyPath` `cryptoKeyVersion.externalProtectionLevelOptions.externalKeyUri` `ekmConfig.defaultEkmConnection` `ekmConnection.cryptoSpacePath`
フィルタリングと並べ替え	`filter` `orderBy` `pageToken`
Key Access Justifications	`keyAccessJustificationsPolicyConfig.name`
キーラベル	`cryptoKey.labels.key` `cryptoKey.labels.value`
鍵バージョンの詳細	`cryptoKeyVersion` `cryptoKeyVersionId` `importJob` `importingKey` `wrappingKey`
クォーラムと信頼の管理	`quorumReply.challengeReplies.publicKeyPem` `requiredActionQuorumReply.requiredChallengeReplies.publicKeyPem` `singleTenantHsmInstanceProposal.addQuorumMember.twoFactorPublicKeyPem` `singleTenantHsmInstanceProposal.registerTwoFactorAuthKeys.twoFactorPublicKeyPems` `singleTenantHsmInstanceProposal.removeQuorumMember.twoFactorPublicKeyPem` `singleTenantHsmInstanceProposal.upgradeKeyTrust.twoFactorPublicKeyPem`
リソースの ID	`ekmConnectionId` `name` `parent` `project` `singleTenantHsmInstanceId` `singleTenantHsmInstanceProposalId`

サウジアラビア王国（KSA）の Data Boundary と Access Justifications

サポート対象のサービス

次の表に、アクセス理由付きのサウジアラビア王国（KSA）Data Boundary の要件を満たす Cloud Key Management Service API とバージョンを示します。

サービス	バージョン	ステータス
cloudkms.googleapis.com	v1	サポート対象

コンプライアンスがサポートされているリージョン

Cloud Key Management Service は、次の Google Cloud リージョンでサウジアラビア王国（KSA）の Data Boundary と Access Justifications に対応しています。

me-central2

適用可能な設定

次の表に、サウジアラビア王国（KSA）の Data Boundary と Access Justifications に適用される組織のポリシーの制約とプロダクト設定を示します。デフォルトでは、これらは Assured Workloads によって設定されます。これらの設定を変更する場合は、まずその変更がコンプライアンスステータスに与える影響を検討する必要があります。組織のポリシーの構成手順については、組織のポリシーの作成と管理をご覧ください。

設定	必須の値
cloudkms.allowedProtectionLevels	`Allowed: EXTERNAL` `Allowed: EXTERNAL_VPC` `Allowed: SOFTWARE` `Allowed: HSM`

機密データの API フィールド

リソース: cloudkms.googleapis.com/CryptoKey

次の表に、サウジアラビア王国（KSA）の Data Boundary と Access Justifications で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド	保護されたフィールド
サービス: `cloudkms.googleapis.com` REST API: `GET` `/v1/{parent=projects//locations//keyRings/*}/cryptoKeys` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.ListCryptoKeys`	`filter` `orderBy`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys/*}:encrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Encrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataChecksum.crc32c.value` `additionalAuthenticatedDataCrc32c.value` `plaintext` `plaintextChecksum.crc32c.value` `plaintextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys/}:decrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Decrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{parent=projects//locations//keyRings/*}/cryptoKeys` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.CreateCryptoKey`	`cryptoKeyId`

リソース: cloudkms.googleapis.com/CryptoKeyVersion

API メソッド	保護されたフィールド
サービス: `cloudkms.googleapis.com` REST API: `GET` `/v1/{parent=projects//locations//keyRings//cryptoKeys/}/cryptoKeyVersions` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.ListCryptoKeyVersions`	`filter` `orderBy`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:asymmetricDecrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.AsymmetricDecrypt`	`ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:asymmetricSign` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.AsymmetricSign`	`data` `dataCrc32c.value` `digest.externalMu` `digest.sha256` `digest.sha384` `digest.sha512` `digestCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:decapsulate` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Decapsulate`	`ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:macSign` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.MacSign`	`data` `dataCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:macVerify` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.MacVerify`	`data` `dataCrc32c.value` `mac` `macCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:rawDecrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.RawDecrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `ciphertext` `ciphertextCrc32c.value` `initializationVector` `initializationVectorCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:rawEncrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.RawEncrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `initializationVector` `initializationVectorCrc32c.value` `plaintext` `plaintextCrc32c.value`

リソース: cloudkms.googleapis.com/ImportJob

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{name=projects/*/locations/*/keyRings/*/importJobs/*}

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GetImportJob

publicKeyFormat

サービス: cloudkms.googleapis.com

REST API: GET /v1/{parent=projects/*/locations/*/keyRings/*}/importJobs

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.ListImportJobs

filter
orderBy

サービス: cloudkms.googleapis.com

REST API: POST /v1/{parent=projects/*/locations/*/keyRings/*}/importJobs

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.CreateImportJob

importJobId

リソース: cloudkms.googleapis.com/KeyRing

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{parent=projects/*/locations/*}/keyRings

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.ListKeyRings

filter
orderBy

サービス: cloudkms.googleapis.com

REST API: POST /v1/{parent=projects/*/locations/*}/keyRings

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.CreateKeyRing

keyRingId

リソース: cloudkms.googleapis.com/Location

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: POST /v1/{location=projects/*/locations/*}:generateRandomBytes

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GenerateRandomBytes

lengthBytes
location
protectionLevel

リソース: cloudkms.googleapis.com/PublicKey

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{name=projects/*/locations/*/keyRings/*/cryptoKeys/*/cryptoKeyVersions/*}/publicKey

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GetPublicKey

publicKeyFormat

機密データ用ではないフィールド

カテゴリ	フィールド
コンテキスト情報	`callerProvidedContext.fields.key` `callerProvidedContext.fields.value.stringValue` `quorumReply.challengeReplies.publicKeyPem` `requiredActionQuorumReply.quorumChallengeReplies.publicKeyPem` `requiredActionQuorumReply.requiredChallengeReplies.publicKeyPem`
暗号鍵バージョン	`cryptoKeyVersion` `cryptoKeyVersionId`
外部鍵管理	`cryptoKeyVersion.externalProtectionLevelOptions.ekmConnectionBackendOverride` `cryptoKeyVersion.externalProtectionLevelOptions.ekmConnectionKeyPath` `cryptoKeyVersion.externalProtectionLevelOptions.externalKeyUri` `ekmConnection.serviceResolvers.endpointFilter` `ekmConnection.serviceResolvers.hostname`
フィルタリングと並べ替え	`filter` `orderBy` `pageToken`
HSM インスタンスの提案	`singleTenantHsmInstanceProposal.addQuorumMember.twoFactorPublicKeyPem` `singleTenantHsmInstanceProposal.registerTwoFactorAuthKeys.twoFactorPublicKeyPems` `singleTenantHsmInstanceProposal.removeQuorumMember.twoFactorPublicKeyPem` `singleTenantHsmInstanceProposal.upgradeKeyTrust.name` `singleTenantHsmInstanceProposal.upgradeKeyTrust.twoFactorPublicKeyPem`
インポートジョブの構成	`importJob` `importJob.cryptoKeyBackend` `importingKey`
鍵アクセス制御	`ekmConnection.serviceResolvers.serviceDirectoryService` `keyAccessJustificationsPolicyConfig.name`
鍵ハンドルとラッピング	`keyHandle.resourceTypeSelector` `keyHandleId` `wrappingKey`
鍵管理の構成	`autokeyConfig.keyProject` `ekmConfig.defaultEkmConnection` `ekmConnection.cryptoSpacePath`
ラベル	`cryptoKey.labels.key` `cryptoKey.labels.value`

Sovereign Controls Advanced KSA CNTXT

サポート対象のサービス

次の表に、Sovereign Controls Advanced KSA CNTXT の要件を満たす Cloud Key Management Service API とバージョンを示します。

サービス	バージョン	ステータス
cloudkms.googleapis.com	v1	サポート対象

コンプライアンスがサポートされているリージョン

Cloud Key Management Service は、次の Google Cloud リージョンで Sovereign Controls Advanced KSA CNTXT に使用できます。

me-central2

適用可能な設定

次の表は、主権管理 Advanced KSA CNTXT に適用される組織のポリシーの制約とプロダクト設定を示しています。デフォルトでは、これらは Assured Workloads によって設定されます。これらの設定を変更する場合は、まずその変更がコンプライアンスステータスに与える影響を検討する必要があります。組織のポリシーの構成手順については、組織のポリシーの作成と管理をご覧ください。

設定	必須の値
cloudkms.allowedProtectionLevels	`Allowed: EXTERNAL` `Allowed: EXTERNAL_VPC`

機密データの API フィールド

リソース: cloudkms.googleapis.com/CryptoKey

次の表に、主権管理 Advanced KSA CNTXT で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド	保護されたフィールド
サービス: `cloudkms.googleapis.com` REST API: `GET` `/v1/{parent=projects//locations//keyRings/*}/cryptoKeys` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.ListCryptoKeys`	`filter` `orderBy`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys/*}:encrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Encrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataChecksum.crc32c.value` `additionalAuthenticatedDataCrc32c.value` `plaintext` `plaintextChecksum.crc32c.value` `plaintextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys/}:decrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Decrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{parent=projects//locations//keyRings/*}/cryptoKeys` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.CreateCryptoKey`	`cryptoKeyId`

リソース: cloudkms.googleapis.com/CryptoKeyVersion

次の表に、主権管理 Advanced KSA CNTXT で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド	保護されたフィールド
サービス: `cloudkms.googleapis.com` REST API: `GET` `/v1/{parent=projects//locations//keyRings//cryptoKeys/}/cryptoKeyVersions` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.ListCryptoKeyVersions`	`filter` `orderBy`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:asymmetricDecrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.AsymmetricDecrypt`	`ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:asymmetricSign` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.AsymmetricSign`	`data` `dataCrc32c.value` `digest.externalMu` `digest.sha256` `digest.sha384` `digest.sha512` `digestCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:decapsulate` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Decapsulate`	`ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:macSign` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.MacSign`	`data` `dataCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:macVerify` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.MacVerify`	`data` `dataCrc32c.value` `mac` `macCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:rawDecrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.RawDecrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `ciphertext` `ciphertextCrc32c.value` `initializationVector` `initializationVectorCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:rawEncrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.RawEncrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `initializationVector` `initializationVectorCrc32c.value` `plaintext` `plaintextCrc32c.value`

リソース: cloudkms.googleapis.com/ImportJob

次の表に、主権管理 Advanced KSA CNTXT で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{name=projects/*/locations/*/keyRings/*/importJobs/*}

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GetImportJob

publicKeyFormat

サービス: cloudkms.googleapis.com

REST API: GET /v1/{parent=projects/*/locations/*/keyRings/*}/importJobs

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.ListImportJobs

filter
orderBy

サービス: cloudkms.googleapis.com

REST API: POST /v1/{parent=projects/*/locations/*/keyRings/*}/importJobs

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.CreateImportJob

importJobId

リソース: cloudkms.googleapis.com/KeyRing

次の表に、主権管理 Advanced KSA CNTXT で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{parent=projects/*/locations/*}/keyRings

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.ListKeyRings

filter
orderBy

サービス: cloudkms.googleapis.com

REST API: POST /v1/{parent=projects/*/locations/*}/keyRings

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.CreateKeyRing

keyRingId

リソース: cloudkms.googleapis.com/Location

次の表に、主権管理 Advanced KSA CNTXT で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: POST /v1/{location=projects/*/locations/*}:generateRandomBytes

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GenerateRandomBytes

lengthBytes
location
protectionLevel

リソース: cloudkms.googleapis.com/PublicKey

次の表に、主権管理 Advanced KSA CNTXT で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{name=projects/*/locations/*/keyRings/*/cryptoKeys/*/cryptoKeyVersions/*}/publicKey

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GetPublicKey

publicKeyFormat

機密データ用ではないフィールド

カテゴリ	フィールド
アクセス制御と権限	`autokeyConfig.keyProject` `cryptoKey.labels.key` `cryptoKey.labels.value` `ekmConnection.serviceResolvers.endpointFilter` `keyHandle.resourceTypeSelector`
Autokey 構成の詳細	`autokeyConfig.etag`
コンテキスト情報	`callerProvidedContext.fields.key` `callerProvidedContext.fields.value.stringValue`
EKM 接続の詳細	`ekmConnection.etag` `ekmConnection.serviceResolvers.hostname`
フィルタリングと並べ替え	`filter` `orderBy` `pageToken`
キーの構成	`autokeyConfig.name` `keyAccessJustificationsPolicyConfig.name` `singleTenantHsmInstance.name` `singleTenantHsmInstanceProposal.name`
鍵マテリアルと保護	`cryptoKey.cryptoKeyBackend` `cryptoKeyVersion.externalProtectionLevelOptions.externalKeyUri` `ekmConnection.cryptoSpacePath` `ekmConnection.serviceResolvers.serviceDirectoryService` `importingKey` `wrappingKey`
クォーラム管理	`quorumReply.challengeReplies.publicKeyPem` `requiredActionQuorumReply.requiredChallengeReplies.publicKeyPem` `singleTenantHsmInstanceProposal.addQuorumMember.twoFactorPublicKeyPem` `singleTenantHsmInstanceProposal.registerTwoFactorAuthKeys.twoFactorPublicKeyPems` `singleTenantHsmInstanceProposal.removeQuorumMember.twoFactorPublicKeyPem`
リソースの ID	`cryptoKeyVersionId` `ekmConnectionId` `keyHandleId` `name` `parent` `project`
更新マスク	`updateMask.paths`

Sovereign Controls Foundation KSA CNTXT

サポート対象のサービス

次の表に、Sovereign Controls Foundation KSA CNTXT の要件を満たす Cloud Key Management Service API とバージョンを示します。

サービス	バージョン	ステータス
cloudkms.googleapis.com	v1	サポート対象

コンプライアンスがサポートされているリージョン

Cloud Key Management Service は、次の Google Cloud リージョンで Sovereign Controls Foundation KSA CNTXT に使用できます。

me-central2

適用可能な設定

次の表に、主権管理 Foundation KSA CNTXT に適用される組織のポリシーの制約とプロダクト設定を示します。デフォルトでは、これらは Assured Workloads によって設定されます。これらの設定を変更する場合は、まずその変更がコンプライアンスステータスに与える影響を検討する必要があります。組織のポリシーの構成手順については、組織のポリシーの作成と管理をご覧ください。

設定	必須の値
cloudkms.allowedProtectionLevels	`Allowed: EXTERNAL` `Allowed: EXTERNAL_VPC` `Allowed: SOFTWARE` `Allowed: HSM`

機密データの API フィールド

リソース: cloudkms.googleapis.com/CryptoKey

次の表に、主権管理 Foundation KSA CNTXT で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド	保護されたフィールド
サービス: `cloudkms.googleapis.com` REST API: `GET` `/v1/{parent=projects//locations//keyRings/*}/cryptoKeys` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.ListCryptoKeys`	`filter` `orderBy`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys/*}:encrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Encrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataChecksum.crc32c.value` `additionalAuthenticatedDataCrc32c.value` `plaintext` `plaintextChecksum.crc32c.value` `plaintextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys/}:decrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Decrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{parent=projects//locations//keyRings/*}/cryptoKeys` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.CreateCryptoKey`	`cryptoKeyId`

リソース: cloudkms.googleapis.com/CryptoKeyVersion

次の表に、主権管理 Foundation KSA CNTXT で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド	保護されたフィールド
サービス: `cloudkms.googleapis.com` REST API: `GET` `/v1/{parent=projects//locations//keyRings//cryptoKeys/}/cryptoKeyVersions` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.ListCryptoKeyVersions`	`filter` `orderBy`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:asymmetricDecrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.AsymmetricDecrypt`	`ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:asymmetricSign` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.AsymmetricSign`	`data` `dataCrc32c.value` `digest.externalMu` `digest.sha256` `digest.sha384` `digest.sha512` `digestCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:decapsulate` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Decapsulate`	`ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:macSign` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.MacSign`	`data` `dataCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:macVerify` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.MacVerify`	`data` `dataCrc32c.value` `mac` `macCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:rawDecrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.RawDecrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `ciphertext` `ciphertextCrc32c.value` `initializationVector` `initializationVectorCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:rawEncrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.RawEncrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `initializationVector` `initializationVectorCrc32c.value` `plaintext` `plaintextCrc32c.value`

リソース: cloudkms.googleapis.com/ImportJob

次の表に、主権管理 Foundation KSA CNTXT で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{name=projects/*/locations/*/keyRings/*/importJobs/*}

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GetImportJob

publicKeyFormat

サービス: cloudkms.googleapis.com

REST API: GET /v1/{parent=projects/*/locations/*/keyRings/*}/importJobs

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.ListImportJobs

filter
orderBy

サービス: cloudkms.googleapis.com

REST API: POST /v1/{parent=projects/*/locations/*/keyRings/*}/importJobs

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.CreateImportJob

importJobId

リソース: cloudkms.googleapis.com/KeyRing

次の表に、主権管理 Foundation KSA CNTXT で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{parent=projects/*/locations/*}/keyRings

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.ListKeyRings

filter
orderBy

サービス: cloudkms.googleapis.com

REST API: POST /v1/{parent=projects/*/locations/*}/keyRings

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.CreateKeyRing

keyRingId

リソース: cloudkms.googleapis.com/Location

次の表に、主権管理 Foundation KSA CNTXT で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: POST /v1/{location=projects/*/locations/*}:generateRandomBytes

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GenerateRandomBytes

lengthBytes
location
protectionLevel

リソース: cloudkms.googleapis.com/PublicKey

次の表に、主権管理 Foundation KSA CNTXT で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{name=projects/*/locations/*/keyRings/*/cryptoKeys/*/cryptoKeyVersions/*}/publicKey

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GetPublicKey

publicKeyFormat

機密データ用ではないフィールド

カテゴリ	フィールド
コンテキスト情報	`callerProvidedContext.fields.key` `callerProvidedContext.fields.value.stringValue`
EKM 接続の詳細	`ekmConfig.defaultEkmConnection` `ekmConnection.cryptoSpacePath` `ekmConnection.serviceResolvers.endpointFilter` `ekmConnection.serviceResolvers.hostname` `ekmConnection.serviceResolvers.serviceDirectoryService`
フィルタリングと並べ替え	`filter` `orderBy` `pageToken`
インポートジョブの詳細	`importJob` `importJob.cryptoKeyBackend` `importingKey`
Key Access Justifications	`keyAccessJustificationsPolicyConfig.name`
キーハンドルの構成	`keyHandle.name` `keyHandle.resourceTypeSelector` `keyHandleId`
キー保護の構成	`autokeyConfig.keyProject` `autokeyConfig.name` `cryptoKey.cryptoKeyBackend` `cryptoKeyVersion.externalProtectionLevelOptions.ekmConnectionBackendOverride` `cryptoKeyVersion.externalProtectionLevelOptions.ekmConnectionKeyPath` `cryptoKeyVersion.externalProtectionLevelOptions.externalKeyUri`
クォーラムと信頼の管理	`quorumReply.challengeReplies.publicKeyPem` `requiredActionQuorumReply.requiredChallengeReplies.publicKeyPem` `singleTenantHsmInstanceProposal.addQuorumMember.twoFactorPublicKeyPem` `singleTenantHsmInstanceProposal.registerTwoFactorAuthKeys.twoFactorPublicKeyPems` `singleTenantHsmInstanceProposal.removeQuorumMember.twoFactorPublicKeyPem` `singleTenantHsmInstanceProposal.upgradeKeyTrust.twoFactorPublicKeyPem`
リソースの ID	`cryptoKeyVersionId` `name` `parent` `project`
更新マスク	`updateMask.paths`

Indra / Minsait による主権管理

サポート対象のサービス

次の表に、Indra / Minsait の主権管理の要件を満たす Cloud Key Management Service API とバージョンを示します。

サービス	バージョン	ステータス
cloudkms.googleapis.com	v1	サポート対象

適用可能な設定

次の表は、Indra / Minsait の主権管理に適用される組織のポリシーの制約とプロダクト設定を示しています。デフォルトでは、これらは Assured Workloads によって設定されます。これらの設定を変更する場合は、まずその変更がコンプライアンスステータスに与える影響を検討する必要があります。組織のポリシーの構成手順については、組織のポリシーの作成と管理をご覧ください。

設定	必須の値
cloudkms.allowedProtectionLevels	`Allowed: EXTERNAL` `Allowed: EXTERNAL_VPC`

機密データの API フィールド

リソース: cloudkms.googleapis.com/CryptoKey

次の表に、Indra / Minsait の主権管理で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド	保護されたフィールド
サービス: `cloudkms.googleapis.com` REST API: `GET` `/v1/{parent=projects//locations//keyRings/*}/cryptoKeys` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.ListCryptoKeys`	`filter` `orderBy`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys/*}:encrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Encrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataChecksum.crc32c.value` `additionalAuthenticatedDataCrc32c.value` `plaintext` `plaintextChecksum.crc32c.value` `plaintextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys/}:decrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Decrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{parent=projects//locations//keyRings/*}/cryptoKeys` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.CreateCryptoKey`	`cryptoKeyId`

リソース: cloudkms.googleapis.com/CryptoKeyVersion

次の表に、Indra / Minsait の主権管理で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド	保護されたフィールド
サービス: `cloudkms.googleapis.com` REST API: `GET` `/v1/{parent=projects//locations//keyRings//cryptoKeys/}/cryptoKeyVersions` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.ListCryptoKeyVersions`	`filter` `orderBy`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:asymmetricDecrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.AsymmetricDecrypt`	`ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:asymmetricSign` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.AsymmetricSign`	`data` `dataCrc32c.value` `digest.externalMu` `digest.sha256` `digest.sha384` `digest.sha512` `digestCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:decapsulate` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Decapsulate`	`ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:macSign` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.MacSign`	`data` `dataCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:macVerify` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.MacVerify`	`data` `dataCrc32c.value` `mac` `macCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:rawDecrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.RawDecrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `ciphertext` `ciphertextCrc32c.value` `initializationVector` `initializationVectorCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:rawEncrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.RawEncrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `initializationVector` `initializationVectorCrc32c.value` `plaintext` `plaintextCrc32c.value`

リソース: cloudkms.googleapis.com/ImportJob

次の表に、Indra / Minsait の主権管理で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{name=projects/*/locations/*/keyRings/*/importJobs/*}

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GetImportJob

publicKeyFormat

サービス: cloudkms.googleapis.com

REST API: GET /v1/{parent=projects/*/locations/*/keyRings/*}/importJobs

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.ListImportJobs

filter
orderBy

サービス: cloudkms.googleapis.com

REST API: POST /v1/{parent=projects/*/locations/*/keyRings/*}/importJobs

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.CreateImportJob

importJobId

リソース: cloudkms.googleapis.com/KeyRing

次の表に、Indra / Minsait の主権管理で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{parent=projects/*/locations/*}/keyRings

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.ListKeyRings

filter
orderBy

サービス: cloudkms.googleapis.com

REST API: POST /v1/{parent=projects/*/locations/*}/keyRings

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.CreateKeyRing

keyRingId

リソース: cloudkms.googleapis.com/Location

次の表に、Indra / Minsait の主権管理で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: POST /v1/{location=projects/*/locations/*}:generateRandomBytes

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GenerateRandomBytes

lengthBytes
location
protectionLevel

リソース: cloudkms.googleapis.com/PublicKey

次の表に、Indra / Minsait の主権管理で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{name=projects/*/locations/*/keyRings/*/cryptoKeys/*/cryptoKeyVersions/*}/publicKey

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GetPublicKey

publicKeyFormat

機密データ用ではないフィールド

カテゴリ	フィールド
コンテキストデータ	`callerProvidedContext.fields.key` `callerProvidedContext.fields.value.stringValue`
暗号鍵の属性	`cryptoKey.cryptoKeyBackend` `cryptoKey.labels.key` `cryptoKey.labels.value`
フィルタリングと並べ替え	`filter` `orderBy` `pageToken`
Key Access Justifications ポリシー	`keyAccessJustificationsPolicyConfig.name`
キーの構成 - autokey	`autokeyConfig.keyProject` `autokeyConfig.name`
キーの構成 - ekm	`ekmConfig.defaultEkmConnection` `ekmConnection.cryptoSpacePath` `ekmConnection.serviceResolvers.endpointFilter` `ekmConnection.serviceResolvers.hostname` `ekmConnection.serviceResolvers.serviceDirectoryService`
キーハンドルの構成	`keyHandle.name` `keyHandle.resourceTypeSelector`
鍵のインポートとラッピング	`importJob.cryptoKeyBackend` `importingKey` `wrappingKey`
鍵バージョンの構成 - 外部保護	`cryptoKeyVersion.externalProtectionLevelOptions.ekmConnectionBackendOverride` `cryptoKeyVersion.externalProtectionLevelOptions.ekmConnectionKeyPath` `cryptoKeyVersion.externalProtectionLevelOptions.externalKeyUri`
リソースの ID	`cryptoKeyVersionId` `name` `parent` `project` `singleTenantHsmInstanceId` `singleTenantHsmInstanceProposalId`

PSN（TIM）による主権管理

サポート対象のサービス

次の表に、PSN（TIM）の主権管理の要件を満たす Cloud Key Management Service API とバージョンを示します。

サービス	バージョン	ステータス
cloudkms.googleapis.com	v1	サポート対象

コンプライアンスがサポートされているリージョン

Cloud Key Management Service は、次の Google Cloud リージョンで PSN（TIM）による主権管理に使用できます。

europe-west8

適用可能な設定

次の表に、PSN（TIM）による主権管理に適用される組織のポリシーの制約とプロダクト設定を示します。デフォルトでは、これらは Assured Workloads によって設定されます。これらの設定を変更する場合は、まずその変更がコンプライアンスステータスに与える影響を検討する必要があります。組織のポリシーの構成手順については、組織のポリシーの作成と管理をご覧ください。

設定	必須の値
cloudkms.allowedProtectionLevels	`Allowed: EXTERNAL` `Allowed: EXTERNAL_VPC`

機密データの API フィールド

リソース: cloudkms.googleapis.com/CryptoKey

次の表に、PSN（TIM）の主権管理で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド	保護されたフィールド
サービス: `cloudkms.googleapis.com` REST API: `GET` `/v1/{parent=projects//locations//keyRings/*}/cryptoKeys` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.ListCryptoKeys`	`filter` `orderBy`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys/*}:encrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Encrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataChecksum.crc32c.value` `additionalAuthenticatedDataCrc32c.value` `plaintext` `plaintextChecksum.crc32c.value` `plaintextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys/}:decrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Decrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{parent=projects//locations//keyRings/*}/cryptoKeys` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.CreateCryptoKey`	`cryptoKeyId`

リソース: cloudkms.googleapis.com/CryptoKeyVersion

次の表に、PSN（TIM）の主権管理で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド	保護されたフィールド
サービス: `cloudkms.googleapis.com` REST API: `GET` `/v1/{parent=projects//locations//keyRings//cryptoKeys/}/cryptoKeyVersions` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.ListCryptoKeyVersions`	`filter` `orderBy`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:asymmetricDecrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.AsymmetricDecrypt`	`ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:asymmetricSign` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.AsymmetricSign`	`data` `dataCrc32c.value` `digest.externalMu` `digest.sha256` `digest.sha384` `digest.sha512` `digestCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:decapsulate` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Decapsulate`	`ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:macSign` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.MacSign`	`data` `dataCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:macVerify` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.MacVerify`	`data` `dataCrc32c.value` `mac` `macCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:rawDecrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.RawDecrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `ciphertext` `ciphertextCrc32c.value` `initializationVector` `initializationVectorCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:rawEncrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.RawEncrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `initializationVector` `initializationVectorCrc32c.value` `plaintext` `plaintextCrc32c.value`

リソース: cloudkms.googleapis.com/ImportJob

次の表に、PSN（TIM）の主権管理で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{name=projects/*/locations/*/keyRings/*/importJobs/*}

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GetImportJob

publicKeyFormat

サービス: cloudkms.googleapis.com

REST API: GET /v1/{parent=projects/*/locations/*/keyRings/*}/importJobs

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.ListImportJobs

filter
orderBy

サービス: cloudkms.googleapis.com

REST API: POST /v1/{parent=projects/*/locations/*/keyRings/*}/importJobs

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.CreateImportJob

importJobId

リソース: cloudkms.googleapis.com/KeyRing

次の表に、PSN（TIM）の主権管理で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{parent=projects/*/locations/*}/keyRings

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.ListKeyRings

filter
orderBy

サービス: cloudkms.googleapis.com

REST API: POST /v1/{parent=projects/*/locations/*}/keyRings

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.CreateKeyRing

keyRingId

リソース: cloudkms.googleapis.com/Location

次の表に、PSN（TIM）の主権管理で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: POST /v1/{location=projects/*/locations/*}:generateRandomBytes

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GenerateRandomBytes

lengthBytes
location
protectionLevel

リソース: cloudkms.googleapis.com/PublicKey

次の表に、PSN（TIM）の主権管理で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{name=projects/*/locations/*/keyRings/*/cryptoKeys/*/cryptoKeyVersions/*}/publicKey

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GetPublicKey

publicKeyFormat

機密データ用ではないフィールド

カテゴリ	フィールド
アクセスの理由の構成	`keyAccessJustificationsPolicyConfig.name`
コンテキスト情報	`callerProvidedContext.fields.key` `callerProvidedContext.fields.value.stringValue`
外部キーの統合	`cryptoKeyVersion.externalProtectionLevelOptions.ekmConnectionBackendOverride` `cryptoKeyVersion.externalProtectionLevelOptions.ekmConnectionKeyPath` `cryptoKeyVersion.externalProtectionLevelOptions.externalKeyUri`
フィルタリングと並べ替え	`filter` `orderBy` `pageToken`
主な属性	`cryptoKey.cryptoKeyBackend` `cryptoKey.labels.key` `cryptoKey.labels.value`
キーの構成	`autokeyConfig.keyProject` `ekmConnection.cryptoSpacePath` `ekmConnection.cryptoSpacePath` `ekmConnection.serviceResolvers.endpointFilter` `ekmConnection.serviceResolvers.hostname` `ekmConnection.serviceResolvers.serviceDirectoryService`
キーのインポートパラメータ	`importJob.cryptoKeyBackend` `wrappingKey`
定足数とセキュリティに関する提案	`quorumReply.challengeReplies.publicKeyPem` `requiredActionQuorumReply.requiredChallengeReplies.publicKeyPem` `singleTenantHsmInstanceProposal.addQuorumMember.twoFactorPublicKeyPem` `singleTenantHsmInstanceProposal.registerTwoFactorAuthKeys.twoFactorPublicKeyPems` `singleTenantHsmInstanceProposal.upgradeKeyTrust.twoFactorPublicKeyPem`
リソースの ID	`cryptoKeyVersionId` `name` `parent` `project` `singleTenantHsmInstanceId` `singleTenantHsmInstanceProposalId`
更新マスク	`updateMask.paths`

S3NS / Thales による主権管理

サポート対象のサービス

次の表に、S3NS / Thales の主権管理の要件を満たす Cloud Key Management Service API とバージョンを示します。

サービス	バージョン	ステータス
cloudkms.googleapis.com	v1	サポート対象

コンプライアンスがサポートされているリージョン

Cloud Key Management Service は、次の Google Cloud リージョンで S3NS / Thales による主権管理に使用できます。

europe-west9

適用可能な設定

次の表に、S3NS / Thales の主権管理に適用される組織のポリシーの制約とプロダクト設定を示します。デフォルトでは、これらは Assured Workloads によって設定されます。これらの設定を変更する場合は、まずその変更がコンプライアンスステータスに与える影響を検討する必要があります。組織のポリシーの構成手順については、組織のポリシーの作成と管理をご覧ください。

設定	必須の値
cloudkms.allowedProtectionLevels	`Allowed: EXTERNAL` `Allowed: EXTERNAL_VPC`

機密データの API フィールド

リソース: cloudkms.googleapis.com/CryptoKey

次の表に、S3NS / Thales の主権管理で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド	保護されたフィールド
サービス: `cloudkms.googleapis.com` REST API: `GET` `/v1/{parent=projects//locations//keyRings/*}/cryptoKeys` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.ListCryptoKeys`	`filter` `orderBy`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys/*}:encrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Encrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataChecksum.crc32c.value` `additionalAuthenticatedDataCrc32c.value` `plaintext` `plaintextChecksum.crc32c.value` `plaintextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys/}:decrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Decrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{parent=projects//locations//keyRings/*}/cryptoKeys` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.CreateCryptoKey`	`cryptoKeyId`

リソース: cloudkms.googleapis.com/CryptoKeyVersion

次の表に、S3NS / Thales の主権管理で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド	保護されたフィールド
サービス: `cloudkms.googleapis.com` REST API: `GET` `/v1/{parent=projects//locations//keyRings//cryptoKeys/}/cryptoKeyVersions` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.ListCryptoKeyVersions`	`filter` `orderBy`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:asymmetricDecrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.AsymmetricDecrypt`	`ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:asymmetricSign` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.AsymmetricSign`	`data` `dataCrc32c.value` `digest.externalMu` `digest.sha256` `digest.sha384` `digest.sha512` `digestCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:decapsulate` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Decapsulate`	`ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:macSign` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.MacSign`	`data` `dataCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:macVerify` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.MacVerify`	`data` `dataCrc32c.value` `mac` `macCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:rawDecrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.RawDecrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `ciphertext` `ciphertextCrc32c.value` `initializationVector` `initializationVectorCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:rawEncrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.RawEncrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `initializationVector` `initializationVectorCrc32c.value` `plaintext` `plaintextCrc32c.value`

リソース: cloudkms.googleapis.com/ImportJob

次の表に、S3NS / Thales の主権管理で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{name=projects/*/locations/*/keyRings/*/importJobs/*}

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GetImportJob

publicKeyFormat

サービス: cloudkms.googleapis.com

REST API: GET /v1/{parent=projects/*/locations/*/keyRings/*}/importJobs

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.ListImportJobs

filter
orderBy

サービス: cloudkms.googleapis.com

REST API: POST /v1/{parent=projects/*/locations/*/keyRings/*}/importJobs

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.CreateImportJob

importJobId

リソース: cloudkms.googleapis.com/KeyRing

次の表に、S3NS / Thales の主権管理で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{parent=projects/*/locations/*}/keyRings

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.ListKeyRings

filter
orderBy

サービス: cloudkms.googleapis.com

REST API: POST /v1/{parent=projects/*/locations/*}/keyRings

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.CreateKeyRing

keyRingId

リソース: cloudkms.googleapis.com/Location

次の表に、S3NS / Thales の主権管理で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: POST /v1/{location=projects/*/locations/*}:generateRandomBytes

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GenerateRandomBytes

lengthBytes
location
protectionLevel

リソース: cloudkms.googleapis.com/PublicKey

次の表に、S3NS / Thales の主権管理で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{name=projects/*/locations/*/keyRings/*/cryptoKeys/*/cryptoKeyVersions/*}/publicKey

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GetPublicKey

publicKeyFormat

機密データ用ではないフィールド

カテゴリ	フィールド
アクセス制御と権限	`importJob.cryptoKeyBackend` `importingKey` `keyAccessJustificationsPolicyConfig.name` `wrappingKey`
フィルタリングと並べ替え	`filter` `orderBy`
HSM インスタンスの提案	`singleTenantHsmInstanceProposal.addQuorumMember.twoFactorPublicKeyPem` `singleTenantHsmInstanceProposal.name` `singleTenantHsmInstanceProposal.registerTwoFactorAuthKeys.twoFactorPublicKeyPems` `singleTenantHsmInstanceProposal.removeQuorumMember.twoFactorPublicKeyPem` `singleTenantHsmInstanceProposal.upgradeKeyTrust.name`
Key Access Justification	`callerProvidedContext.fields.key` `callerProvidedContext.fields.value.stringValue`
キーラベル	`cryptoKey.labels.key` `cryptoKey.labels.value`
鍵管理の構成	`autokeyConfig.keyProject` `cryptoKey.cryptoKeyBackend` `ekmConfig.defaultEkmConnection` `ekmConnection.cryptoSpacePath` `ekmConnection.serviceResolvers.serviceDirectoryService`
鍵バージョンの構成	`cryptoKeyVersion` `cryptoKeyVersion.externalProtectionLevelOptions.ekmConnectionKeyPath` `cryptoKeyVersion.externalProtectionLevelOptions.externalKeyUri` `cryptoKeyVersionId`
ページ分け	`pageToken`
クォーラムとセキュリティ管理	`quorumReply.challengeReplies.publicKeyPem` `requiredActionQuorumReply.requiredChallengeReplies.publicKeyPem` `singleTenantHsmInstanceProposal.upgradeKeyTrust.twoFactorPublicKeyPem`
リソースの ID	`name` `parent` `project`

T-Systems による主権管理

サポート対象のサービス

次の表に、T-Systems の主権管理の要件を満たす Cloud Key Management Service API とバージョンを示します。

サービス	バージョン	ステータス
cloudkms.googleapis.com	v1	サポート対象

コンプライアンスがサポートされているリージョン

Cloud Key Management Service は、次の Google Cloud リージョンで T-Systems による主権管理に使用できます。

europe-west3

適用可能な設定

次の表に、T-Systems の主権管理に適用される組織のポリシーの制約とプロダクト設定を示します。デフォルトでは、これらは Assured Workloads によって設定されます。これらの設定を変更する場合は、まずその変更がコンプライアンスステータスに与える影響を検討する必要があります。組織のポリシーの構成手順については、組織のポリシーの作成と管理をご覧ください。

設定	必須の値
cloudkms.allowedProtectionLevels	`Allowed: EXTERNAL` `Allowed: EXTERNAL_VPC`

機密データの API フィールド

リソース: cloudkms.googleapis.com/CryptoKey

次の表に、T-Systems の主権管理で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド	保護されたフィールド
サービス: `cloudkms.googleapis.com` REST API: `GET` `/v1/{parent=projects//locations//keyRings/*}/cryptoKeys` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.ListCryptoKeys`	`filter` `orderBy`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys/*}:encrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Encrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataChecksum.crc32c.value` `additionalAuthenticatedDataCrc32c.value` `plaintext` `plaintextChecksum.crc32c.value` `plaintextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys/}:decrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Decrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{parent=projects//locations//keyRings/*}/cryptoKeys` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.CreateCryptoKey`	`cryptoKeyId`

リソース: cloudkms.googleapis.com/CryptoKeyVersion

次の表に、T-Systems の主権管理で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド	保護されたフィールド
サービス: `cloudkms.googleapis.com` REST API: `GET` `/v1/{parent=projects//locations//keyRings//cryptoKeys/}/cryptoKeyVersions` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.ListCryptoKeyVersions`	`filter` `orderBy`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:asymmetricDecrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.AsymmetricDecrypt`	`ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:asymmetricSign` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.AsymmetricSign`	`data` `dataCrc32c.value` `digest.externalMu` `digest.sha256` `digest.sha384` `digest.sha512` `digestCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:decapsulate` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Decapsulate`	`ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:macSign` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.MacSign`	`data` `dataCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:macVerify` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.MacVerify`	`data` `dataCrc32c.value` `mac` `macCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:rawDecrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.RawDecrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `ciphertext` `ciphertextCrc32c.value` `initializationVector` `initializationVectorCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:rawEncrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.RawEncrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `initializationVector` `initializationVectorCrc32c.value` `plaintext` `plaintextCrc32c.value`

リソース: cloudkms.googleapis.com/ImportJob

次の表に、T-Systems の主権管理で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{name=projects/*/locations/*/keyRings/*/importJobs/*}

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GetImportJob

publicKeyFormat

サービス: cloudkms.googleapis.com

REST API: GET /v1/{parent=projects/*/locations/*/keyRings/*}/importJobs

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.ListImportJobs

filter
orderBy

サービス: cloudkms.googleapis.com

REST API: POST /v1/{parent=projects/*/locations/*/keyRings/*}/importJobs

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.CreateImportJob

importJobId

リソース: cloudkms.googleapis.com/KeyRing

次の表に、T-Systems の主権管理で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{parent=projects/*/locations/*}/keyRings

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.ListKeyRings

filter
orderBy

サービス: cloudkms.googleapis.com

REST API: POST /v1/{parent=projects/*/locations/*}/keyRings

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.CreateKeyRing

keyRingId

リソース: cloudkms.googleapis.com/Location

次の表に、T-Systems の主権管理で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: POST /v1/{location=projects/*/locations/*}:generateRandomBytes

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GenerateRandomBytes

lengthBytes
location
protectionLevel

リソース: cloudkms.googleapis.com/PublicKey

次の表に、T-Systems の主権管理で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{name=projects/*/locations/*/keyRings/*/cryptoKeys/*/cryptoKeyVersions/*}/publicKey

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GetPublicKey

publicKeyFormat

機密データ用ではないフィールド

カテゴリ	フィールド
AccessControlAndContext	`callerProvidedContext.fields.key` `callerProvidedContext.fields.value.stringValue` `keyAccessJustificationsPolicyConfig.name` `quorumReply.challengeReplies.publicKeyPem` `requiredActionQuorumReply.quorumChallengeReplies.publicKeyPem` `requiredActionQuorumReply.requiredChallengeReplies.publicKeyPem`
ConfigurationDetails	`cryptoKey.labels.key` `ekmConfig.defaultEkmConnection` `ekmConnection.serviceResolvers.endpointFilter` `ekmConnection.serviceResolvers.hostname` `importingKey` `wrappingKey`
ExternalKeyIntegration	`cryptoKeyVersion.externalProtectionLevelOptions.ekmConnectionKeyPath` `cryptoKeyVersion.externalProtectionLevelOptions.externalKeyUri` `ekmConnection.etag`
FilteringAndSorting	`filter` `orderBy` `updateMask.paths`
HSMSpecificParameters	`singleTenantHsmInstance.name` `singleTenantHsmInstanceProposal.addQuorumMember.twoFactorPublicKeyPem` `singleTenantHsmInstanceProposal.registerTwoFactorAuthKeys.twoFactorPublicKeyPems` `singleTenantHsmInstanceProposal.removeQuorumMember.twoFactorPublicKeyPem` `singleTenantHsmInstanceProposal.upgradeKeyTrust.name` `singleTenantHsmInstanceProposal.upgradeKeyTrust.twoFactorPublicKeyPem`
識別	`cryptoKeyVersionId` `ekmConnectionId` `keyHandleId` `name` `singleTenantHsmInstanceId` `singleTenantHsmInstanceProposalId`
KeyManagement	`autokeyConfig.keyProject` `cryptoKey.cryptoKeyBackend` `cryptoKeyVersion.externalProtectionLevelOptions.ekmConnectionBackendOverride` `ekmConnection.cryptoSpacePath` `ekmConnection.serviceResolvers.serviceDirectoryService` `importJob.cryptoKeyBackend`
KeyMaterialHandling	`cryptoKey` `cryptoKeyVersion` `keyHandle.resourceTypeSelector`
ページ分け	`pageToken`
ResourceHierarchy	`parent` `project`

ヘルスケアとライフサイエンス用の米国のデータ境界

サポート対象のサービス

次の表に、ヘルスケアとライフサイエンス用の米国の Data Boundary の要件を満たす Cloud Key Management Service API とバージョンを示します。

サービス	バージョン	ステータス
cloudkms.googleapis.com	v1	サポート対象

コンプライアンスがサポートされているリージョン

Cloud Key Management Service は、次の Google Cloud リージョンでヘルスケアとライフサイエンス用の米国の Data Boundary で利用できます。

us-east1
us-east4
us-west2
us-west1
us-central1
us-west3
us-central2
us-west4
us-east5
us-south1

機密データの API フィールド

リソース: cloudkms.googleapis.com/CryptoKey

次の表に、ヘルスケアとライフサイエンス用の米国の Data Boundary で保護されているデータを処理するように設計された API リソースとフィールドを示します。

API メソッド	保護されたフィールド
サービス: `cloudkms.googleapis.com` REST API: `GET` `/v1/{parent=projects//locations//keyRings/*}/cryptoKeys` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.ListCryptoKeys`	`filter` `orderBy`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys/*}:encrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Encrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataChecksum.crc32c.value` `additionalAuthenticatedDataCrc32c.value` `plaintext` `plaintextChecksum.crc32c.value` `plaintextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys/}:decrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Decrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{parent=projects//locations//keyRings/*}/cryptoKeys` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.CreateCryptoKey`	`cryptoKeyId`

リソース: cloudkms.googleapis.com/CryptoKeyVersion

API メソッド	保護されたフィールド
サービス: `cloudkms.googleapis.com` REST API: `GET` `/v1/{parent=projects//locations//keyRings//cryptoKeys/}/cryptoKeyVersions` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.ListCryptoKeyVersions`	`filter` `orderBy`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:asymmetricDecrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.AsymmetricDecrypt`	`ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:asymmetricSign` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.AsymmetricSign`	`data` `dataCrc32c.value` `digest.externalMu` `digest.sha256` `digest.sha384` `digest.sha512` `digestCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:decapsulate` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.Decapsulate`	`ciphertext` `ciphertextCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:macSign` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.MacSign`	`data` `dataCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:macVerify` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.MacVerify`	`data` `dataCrc32c.value` `mac` `macCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:rawDecrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.RawDecrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `ciphertext` `ciphertextCrc32c.value` `initializationVector` `initializationVectorCrc32c.value`
サービス: `cloudkms.googleapis.com` REST API: `POST` `/v1/{name=projects//locations//keyRings//cryptoKeys//cryptoKeyVersions/*}:rawEncrypt` RPC メソッド: `google.cloud.kms.v1.KeyManagementService.RawEncrypt`	`additionalAuthenticatedData` `additionalAuthenticatedDataCrc32c.value` `initializationVector` `initializationVectorCrc32c.value` `plaintext` `plaintextCrc32c.value`

リソース: cloudkms.googleapis.com/ImportJob

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{name=projects/*/locations/*/keyRings/*/importJobs/*}

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GetImportJob

publicKeyFormat

サービス: cloudkms.googleapis.com

REST API: GET /v1/{parent=projects/*/locations/*/keyRings/*}/importJobs

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.ListImportJobs

filter
orderBy

サービス: cloudkms.googleapis.com

REST API: POST /v1/{parent=projects/*/locations/*/keyRings/*}/importJobs

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.CreateImportJob

importJobId

リソース: cloudkms.googleapis.com/KeyRing

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{parent=projects/*/locations/*}/keyRings

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.ListKeyRings

filter
orderBy

サービス: cloudkms.googleapis.com

REST API: POST /v1/{parent=projects/*/locations/*}/keyRings

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.CreateKeyRing

keyRingId

リソース: cloudkms.googleapis.com/Location

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: POST /v1/{location=projects/*/locations/*}:generateRandomBytes

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GenerateRandomBytes

lengthBytes
location
protectionLevel

リソース: cloudkms.googleapis.com/PublicKey

API メソッド保護されたフィールド

サービス: cloudkms.googleapis.com

REST API: GET /v1/{name=projects/*/locations/*/keyRings/*/cryptoKeys/*/cryptoKeyVersions/*}/publicKey

RPC メソッド:

google.cloud.kms.v1.KeyManagementService.GetPublicKey

publicKeyFormat

機密データ用ではないフィールド

カテゴリ	フィールド
コンテキスト情報	`callerProvidedContext.fields.key` `callerProvidedContext.fields.value.stringValue` `quorumReply.challengeReplies.publicKeyPem`
EKM 接続の詳細	`ekmConfig.defaultEkmConnection` `ekmConnection.etag` `ekmConnectionId`
フィルタリングと並べ替え	`filter` `orderBy` `pageToken`
HSM インスタンスの提案	`singleTenantHsmInstanceProposal.addQuorumMember.twoFactorPublicKeyPem` `singleTenantHsmInstanceProposal.name` `singleTenantHsmInstanceProposal.registerTwoFactorAuthKeys.twoFactorPublicKeyPems` `singleTenantHsmInstanceProposal.removeQuorumMember.twoFactorPublicKeyPem` `singleTenantHsmInstanceProposal.upgradeKeyTrust.name` `singleTenantHsmInstanceProposal.upgradeKeyTrust.twoFactorPublicKeyPem`
鍵アクセス制御	`keyAccessJustificationsPolicyConfig.name`
キーの構成	`autokeyConfig.keyProject` `ekmConnection.cryptoSpacePath` `ekmConnection.serviceResolvers.endpointFilter` `ekmConnection.serviceResolvers.hostname` `ekmConnection.serviceResolvers.serviceDirectoryService` `importJob.cryptoKeyBackend`
鍵ハンドルの詳細	`keyHandle.name` `keyHandle.resourceTypeSelector` `keyHandleId`
鍵バージョンの構成	`cryptoKey` `cryptoKeyVersion.externalProtectionLevelOptions.ekmConnectionBackendOverride` `cryptoKeyVersion.externalProtectionLevelOptions.ekmConnectionKeyPath` `cryptoKeyVersion.externalProtectionLevelOptions.externalKeyUri` `importingKey` `wrappingKey`
リソースの ID	`name` `parent` `project` `singleTenantHsmInstanceId` `singleTenantHsmInstanceProposalId`
更新マスク	`updateMask.paths`

次のステップ

Google Cloudのコンプライアンスの詳細を確認する。

Cloud Key Management Service の規制サポート コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。

インドのデータ境界

サポート対象のサービス

機密データの API フィールド

リソース: cloudkms.googleapis.com/CryptoKey

リソース: cloudkms.googleapis.com/CryptoKeyVersion

リソース: cloudkms.googleapis.com/ImportJob

リソース: cloudkms.googleapis.com/KeyRing

リソース: cloudkms.googleapis.com/Location

リソース: cloudkms.googleapis.com/PublicKey

機密データ用ではないフィールド

オーストラリアの Data Boundary とサポート

サポート対象のサービス

機密データの API フィールド

リソース: cloudkms.googleapis.com/CryptoKey

リソース: cloudkms.googleapis.com/CryptoKeyVersion

リソース: cloudkms.googleapis.com/ImportJob

リソース: cloudkms.googleapis.com/KeyRing

リソース: cloudkms.googleapis.com/Location

リソース: cloudkms.googleapis.com/PublicKey

機密データ用ではないフィールド

カナダの Data Boundary とサポート

サポート対象のサービス

コンプライアンスがサポートされているリージョン

機密データの API フィールド

リソース: cloudkms.googleapis.com/CryptoKey

リソース: cloudkms.googleapis.com/CryptoKeyVersion

リソース: cloudkms.googleapis.com/ImportJob

リソース: cloudkms.googleapis.com/KeyRing

リソース: cloudkms.googleapis.com/Location

リソース: cloudkms.googleapis.com/PublicKey

機密データ用ではないフィールド

EU の Data Boundary とサポート

サポート対象のサービス

コンプライアンスがサポートされているリージョン

機密データの API フィールド

リソース: cloudkms.googleapis.com/CryptoKey

リソース: cloudkms.googleapis.com/CryptoKeyVersion

リソース: cloudkms.googleapis.com/ImportJob

リソース: cloudkms.googleapis.com/KeyRing

リソース: cloudkms.googleapis.com/Location

リソース: cloudkms.googleapis.com/PublicKey

機密データ用ではないフィールド

イスラエルのデータ境界とサポート

サポート対象のサービス

機密データの API フィールド

リソース: cloudkms.googleapis.com/CryptoKey

リソース: cloudkms.googleapis.com/CryptoKeyVersion

リソース: cloudkms.googleapis.com/ImportJob

リソース: cloudkms.googleapis.com/KeyRing

リソース: cloudkms.googleapis.com/Location

リソース: cloudkms.googleapis.com/PublicKey

機密データ用ではないフィールド

日本の Data Boundary

サポート対象のサービス

機密データの API フィールド

リソース: cloudkms.googleapis.com/CryptoKey

リソース: cloudkms.googleapis.com/CryptoKeyVersion

リソース: cloudkms.googleapis.com/ImportJob

リソース: cloudkms.googleapis.com/KeyRing

リソース: cloudkms.googleapis.com/Location

リソース: cloudkms.googleapis.com/PublicKey

機密データ用ではないフィールド

米国の Data Boundary とサポート

サポート対象のサービス

コンプライアンスがサポートされているリージョン

機密データの API フィールド

リソース: cloudkms.googleapis.com/CryptoKey

リソース: cloudkms.googleapis.com/CryptoKeyVersion

リソース: cloudkms.googleapis.com/ImportJob

リソース: cloudkms.googleapis.com/KeyRing

リソース: cloudkms.googleapis.com/Location

リソース: cloudkms.googleapis.com/PublicKey

機密データ用ではないフィールド

CJIS の Data Boundary

サポート対象のサービス

コンプライアンスがサポートされているリージョン

機密データの API フィールド

リソース: cloudkms.googleapis.com/CryptoKey

リソース: cloudkms.googleapis.com/CryptoKeyVersion

Cloud Key Management Service の規制サポート