Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Google Workspace 向け Cloud HSM にオンボーディングする

このページでは、Cloud Key Management Service（Cloud KMS）が提供する Google Workspace の暗号鍵サービスである Cloud HSM for Google Workspace（CHGWS）のオンボーディング方法について説明します。Cloud HSM for Google Workspace は、Google Workspace のプライバシー管理を強化し、DISA IL5 などの規制基準を達成してデータセキュリティを強化するのに役立ちます。Cloud HSM は、標準に準拠した高可用性のフルマネージド鍵管理サービスです。クラウド規模で運用され、FIPS 140-2 レベル 3 に準拠した HSM（ハードウェアセキュリティモジュール）にハードウェア格納型鍵が保存されます。

CHGWS は、マルチテナント Cloud HSM 鍵とシングルテナント Cloud HSM 鍵の両方と互換性があります。

詳細については、Cloud HSM for Google Workspace をご覧ください。

始める前に

Cloud HSM for Google Workspace のオンボーディングを行う前に、次の前提条件を満たしていることを確認してください。

Google Workspace を設定する。
Google Workspace で Google Workspace クライアントサイド暗号化（CSE）を有効にする。
Google Workspace CSE で ID プロバイダ（IdP）を構成する。IdP のクライアント ID をメモします。Google Identity Platform を使用する場合は、プロジェクトでクライアント ID を確認します。 Google Cloud
省略可: ウェブ以外のプラットフォームアプリケーション（モバイルやデスクトップなど）で CSE で暗号化されたコンテンツへのアクセスを許可する場合は、Google Workspace 管理コンソールの IdP 設定で、それらのプラットフォームのクライアント ID を追加します。この IdP のすべてのクライアント ID をメモします。Google Identity Platform を使用する場合は、プロジェクトでこれらのクライアント ID を確認します。 Google Cloud 他の ID プロバイダの場合は、これらのクライアント ID を個別に作成します。

互換性のあるロケーション

Cloud KMS 鍵は、米国またはヨーロッパ の地理的領域内の任意のリージョンまたはマルチリージョンロケーションに保存できます。Cloud HSM for Google Workspace は、マルチテナント Cloud HSM 鍵とシングルテナント Cloud HSM 鍵の両方をサポートしています。特定のロケーションを見つけるには、Cloud KMS のロケーションにアクセスし、HSM タイプでフィルタします。

Cloud HSM for Google Workspace は、鍵のロケーションに最も近い次のいずれかのマルチリージョンにエンドポイントを自動的に提供します。

us
eur3

Cloud KMS 用の Google Cloud プロジェクトを設定する

Cloud HSM for Google Workspace エンドポイントは、暗号オペレーションに Cloud KMS 鍵を使用します。Cloud KMS 鍵をホストする新しい Google Cloud プロジェクトを設定します。

プロジェクトを Google Cloud 作成します。これが鍵のプロジェクトになります。プロジェクト ID とプロジェクト番号をメモします。設定を完了するには、これらが必要になります。

重要: CHGWS 鍵のみを含む専用 Google Cloud プロジェクトを使用することを強くおすすめします。これにより、課金をより細かく管理できます。詳細については、課金を管理するをご覧ください。
作成したプロジェクトで課金を有効にします。
鍵プロジェクトで Cloud KMS API を有効にします。 Google Cloud

API の有効化
コンソールで、terminal [**Cloud Shell をアクティブにする**] をクリックします。 Google Cloud
プロジェクト ID を Cloud Shell プロンプトのプロジェクト ID と比較して、正しいプロジェクトにいることを確認します。
Cloud Shell を使用して、Cloud HSM for Google Workspace サービスアカウントを作成します。
```
gcloud beta services identity create \
    --service=cloudkmskacls-pa.googleapis.com
```
このコマンドで作成されたサービス ID をメモします。次のステップでサービス ID 名が必要になります。
作成したサービスアカウントにCHGWS 鍵サービスエージェント ロールを付与します。
```
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-cloudkmskacls.iam.gserviceaccount.com \
    --role=roles/cloudkmskacls.serviceAgent
```
次のように置き換えます。
- PROJECT_ID: 鍵プロジェクトのプロジェクト ID。
- PROJECT_NUMBER: 鍵プロジェクトのプロジェクト番号。

CHGWS サービスエンドポイントを管理する

以降のセクションでは、CHGWS エンドポイントを設定して管理する方法について説明します。

Cloud KMS 鍵を設定する

CHGWS 鍵サービスエンドポイントの Cloud KMS リソースを設定します。

サポートされているリージョンのいずれかに鍵リングを作成します。
```
gcloud kms keyrings create KEY_RING --location LOCATION
```
- KEY_RING は、 CHGWS 鍵リングに使用する名前に置き換えます（例: CHGWS_KEY_RING）。
- LOCATION は、鍵リングを作成するロケーションに置き換えます（例: us）。
Cloud HSM 鍵を作成します。
マルチテナント Cloud HSM
保護レベル hsm で鍵を作成するには:
gcloud kms keys create KEY_NAME \ --protection-level "hsm" \ --keyring KEY_RING \ --location LOCATION \ --purpose "encryption" \ --rotation-period ROTATION_PERIOD \ --next-rotation-time NEXT_ROTATION_TIME
次のように置き換えます。
- KEY_NAME: 鍵に使用する名前（例: CHGWS_KEY）。
- KEY_RING: 鍵リングの名前（例: CHGWS_KEY_RING）。
- LOCATION: 鍵リングを作成したロケーション（例: us）。
- ROTATION_PERIOD: 鍵をローテーションする頻度（例: 7d）。
- NEXT_ROTATION_TIME: 次の鍵のローテーションが行われる日時（例: 2024-03-20T01:00:00）。
シングルテナント Cloud HSM
保護レベル hsm_single_tenant で鍵を作成するには、まず同じロケーションにシングルテナント Cloud HSM インスタンスをプロビジョニングする必要があります。
1. シングルテナント Cloud HSM インスタンスを作成してプロビジョニングする: シングルテナント Cloud HSM インスタンスを作成して管理するの手順に沿って操作します。プロビジョニングされたインスタンス ID をメモします。次のステップでこれを使用します。
2. 鍵を作成します。
  
  gcloud kms keys create KEY_NAME \ --protection-level "hsm_single_tenant" \ --keyring KEY_RING \ --location LOCATION \ --purpose "encryption" \ --crypto-key-backend "projects/PROJECT_ID/locations/LOCATION/singleTenantHsmInstances/INSTANCE_NAME" \ --rotation-period ROTATION_PERIOD \ --next-rotation-time NEXT_ROTATION_TIME
  
  次のように置き換えます。
  
  KEY_NAME: 鍵に使用する名前（例: CHGWS_KEY）。
  
  KEY_RING: 鍵リングの名前（例: CHGWS_KEY_RING）。
  
  LOCATION: 鍵リングを作成したロケーション（例: us）。
  
  PROJECT_ID: 鍵プロジェクトのプロジェクト ID。
  
  INSTANCE_NAME: 鍵を作成するシングルテナント Cloud HSM インスタンスの名前。
  
  ROTATION_PERIOD: 鍵をローテーションする頻度（例: 7d）。
  
  NEXT_ROTATION_TIME: 次の鍵のローテーションが行われる日時（例: 2024-03-20T01:00:00）。
鍵の作成オプションの詳細については、鍵を作成するをご覧ください。

オンボーディングとエンドポイントの作成をリクエストする

オンボーディングとエンドポイントの作成をリクエストするには、アカウント担当者に連絡して、エンドポイントのオンボーディングリクエストの送信についてサポートを依頼してください。リクエストには、次の情報を含めます。

Google Workspace の詳細
- Google Workspace ID: Google Workspace ID。Google Workspace ID を確認するには、お客様 ID を確認するの手順に沿って操作します。
- Google Workspace 管理者のメールアドレス: 管理者のメールアドレスをカンマ区切りのリストで指定します。
ID プロバイダ（IdP）の詳細
- プライマリ ID プロバイダ（IdP）の詳細:
  - IdP JSON Web Key Set（JWKS）URL: Google Identity Platform の場合は、 https://www.googleapis.com/oauth2/v3/certs を使用します。
  - JSON Web Token（JWT）トークン発行者: Google Identity Platform の場合は、を使用しますhttps://accounts.google.com.
  - JWT オーディエンス: ウェブアプリケーション用の IdP のクライアント ID。
  - 追加の JWT オーディエンス: 省略可。ウェブ以外のプラットフォームアプリケーションのクライアント ID を構成している場合は、指定します。Google Identity Platform の場合は、 CSE で Google ID を使用する場合に記載されているクライアント ID を使用します。
- ゲスト IdP の詳細: 省略可。ゲスト IdP を使用している場合は、このセクションを完了します。
  - ゲスト IdP JWKS URL: ゲスト IdP の JWKS URL。
  - ゲスト JWT トークン発行者: ゲスト IdP の JWT トークン発行者。
  - ゲスト JWT オーディエンス: Google Meet を除く、ウェブアプリケーション用のゲスト IdP のクライアント ID。
  - ゲストの追加の JWT オーディエンス: 省略可。Google Meet ウェブクライアント ID またはウェブ以外のプラットフォームアプリケーションのクライアント ID を構成する場合は、それぞれのクライアント ID を指定します。Google Identity Platform の場合は、 CSE で Google ID を使用する場合に記載されているクライアント ID を使用します。
重要: IdP JWKS URL が一般公開されていることを確認します。JWT トークン発行者と JWT オーディエンスの値は、IdP 管理者に確認してください。
CSE 鍵の詳細
- Google Cloud プロジェクト ID: PROJECT_ID
- Google Cloud プロジェクト番号: PROJECT_NUMBER
- Cloud KMS キーリング名: KEY_RING
- Cloud KMS キーリングのロケーション: LOCATION
- Cloud KMS 鍵名: KEY_NAME
- Cloud KMS 鍵の保護レベル: hsm または hsm_single_tenant のいずれかである必要があります
- CHGWS ベース URL: 省略可。鍵の移行を有効にする URL のリスト。この Google Workspace で CHGWS を初めて設定する場合は、このフィールドを空白のままにします。
詳細情報
- お客様の名前: お客様の名前を入力します。
- 想定されるユーザー数: Google Workspace インスタンスの想定されるユーザー数を入力します。

Google Workspace CSE で CHGWS エンドポイントを構成する

CHGWS エンドポイントの作成時に生成された CHGWS URL を使用するように Google Workspace CSE を構成します。クライアントサイド暗号化で使用する鍵サービスを追加、管理するの手順に沿って操作します。

鍵サービスの移行

CHGWS では、鍵サービスを CHGWS に移行したり、CHGWS から移行したりできます。鍵サービスの移行を開始するには、アカウント担当者に連絡して、移行リクエストの送信についてサポートを依頼してください。リクエストには、次の情報を含めます。

エンドポイント ID: CHGWS のエンドポイント ID。
鍵サービス URL: 鍵サービスの移行を有効にする URL のリスト。
- Cloud HSM for Google Workspace に移行する場合は、移行元の各鍵サービスエンドポイントのベース URL を指定します。
- Cloud HSM for Google Workspace から移行する場合は、移行先の鍵サービスエンドポイントのベース URL を指定します。
重要: 2 つの異なる Cloud HSM for Google Workspace エンドポイント間で移行する場合は、2 つのリクエストを送信します。1 つは以前のエンドポイントから、もう 1 つは新しいエンドポイントへです。

エンドポイントを削除または無効にする

Cloud HSM for Google Workspace エンドポイントでの削除または無効化オペレーションは直接サポートされていません。ただし、バッキング Cloud KMS 鍵のすべての鍵バージョンを無効にすることで、Cloud HSM for Google Workspace エンドポイントを無効にできます。

エンドポイントをバッキングする Cloud KMS 鍵バージョンごとに、次のコマンドを実行します。
```
gcloud kms keys versions disable KEY_VERSION --keyring \
    KEY_RING --location LOCATION --key KEY_NAME
```
次のように置き換えます。
- KEY_VERSION: 無効にする鍵のバージョン（例: 1）。
- KEY_RING: 鍵リングの名前（例: CHGWS_KEY_RING）。
- LOCATION: 無効にするロケーション（例: us）。
- KEY_NAME: 鍵の名前（例: CHGWS_KEY）。

エンドポイントを有効にする

バッキング Cloud KMS 鍵のすべての鍵バージョンを無効にして CHGWS エンドポイントを無効にした場合は、CHGWS エンドポイントを再度有効にできます。エンドポイントを再度有効にするには、次の gcloud CLI コマンドを使用して、バッキング Cloud KMS 鍵のすべてのアクティブバージョンを有効にします。

エンドポイントをバッキングする Cloud KMS 鍵バージョンごとに、次のコマンドを実行します。
```
gcloud kms keys versions enable KEY_VERSION --keyring \
    KEY_RING --location LOCATION --key KEY_NAME
```
次のように置き換えます。
- KEY_VERSION: 有効にする鍵のバージョン（例: 1）。
- KEY_RING: 鍵リングの名前（例: CHGWS_KEY_RING）。
- LOCATION: 有効にするロケーション（例: us）。
- KEY_NAME: 鍵の名前（例: CHGWS_KEY）。

CHGWS の課金を管理する

オンボーディングリクエストでリクエストした CHGWS エンドポイントが提供されると、すぐに課金が開始されます。その時点から、プロジェクトで課金が有効になっている限り、CHGWS エンドポイントを無効にしても、Cloud HSM for Google Workspace の定期購入料金が継続して請求されます。 Google Cloud このセクションでは、Cloud HSM for Google Workspace の料金の発生を停止する方法と、料金の発生を再開する方法について説明します。

プロジェクトの課金を無効/有効にする

Cloud HSM for Google Workspace の Cloud KMS 鍵を含むプロジェクトの課金を無効にできます。課金を無効にすると、プロジェクト内のすべての有料サービスが停止します。プロジェクトレベルの課金が無効になると、Cloud HSM for Google Workspace サブスクリプションの料金は 24 時間以内に停止します。

Cloud HSM for Google Workspace の使用を再開する場合は、プロジェクトの課金を再度有効にできます。課金が再度有効になると、定期購入料金が再開され、CHGWS エンドポイントと Cloud KMS 鍵が正常に機能するようになります。

手動での無効化または有効化をリクエストする

他のプロジェクトリソースをアクティブな状態のまま CHGWS エンドポイントを無効にする必要がある場合は、オンボーディングリクエストと同様のリクエストを送信します。Google Workspace の詳細、CHGWS エンドポイント ID などの関連情報を提供し、要件を説明します。手動チケットは、CHGWS チームが完了するまでに 48 時間かかることがあります。リクエストが完了すると、Cloud HSM for Google Workspace の定期購入料金は 24 時間以内に停止します。

同様のリクエストを作成することで、CHGWS エンドポイントとその課金を再度有効にできます。

プロジェクトを削除または復元する

Cloud HSM for Google Workspace の Cloud KMS 鍵を含むプロジェクトを削除できます。プロジェクトを削除すると、プロジェクト内のすべてのサービスが停止します。削除したプロジェクトは、削除後 30 日以内であれば復元できます。ただし、プロジェクト内の Cloud KMS 鍵は復元できないため、復元されたプロジェクト内の鍵で暗号化されたすべてのドキュメントやその他のデータは、完全に暗号化されたままになります。削除したプロジェクトを復元すると、Cloud KMS 鍵は復元できませんが、Cloud HSM for Google Workspace の定期購入料金が再開されます。

次のステップ

Cloud HSM for Google Workspace の詳細を確認する。
Cloud Key Management Service の詳細を確認する。
クライアントサイド暗号化で使用する鍵サービスを追加、管理する方法を確認する。