このページでは、Cloud Key Management Service(Cloud KMS)が提供する Google Workspace の暗号鍵サービスである Cloud HSM for Google Workspace(CHGWS)をオンボーディングする方法について説明します。Google Workspace 向け Cloud HSM は、Google Workspace のプライバシー管理を強化し、DISA IL5 などの規制基準の達成とデータ セキュリティの強化に役立ちます。Cloud HSM は、標準に準拠した高可用性のフルマネージド鍵管理サービスです。クラウド規模で運用され、FIPS 140-2 レベル 3 に準拠した HSM(ハードウェア セキュリティ モジュール)にハードウェア格納型鍵が保存されます。
詳細については、Google Workspace 向け Cloud HSM をご覧ください。
始める前に
Google Workspace 向け Cloud HSM をオンボーディングする前に、次の前提条件を満たしてください。
- Google Workspace を設定します。
- Google Workspace で Google Workspace クライアントサイド暗号化(CSE)を有効にします。
- Google Workspace CSE で ID プロバイダ(IdP)を構成します。IdP のクライアント ID をメモします。Google Identity Platform を使用している場合は、 Google Cloud プロジェクトでクライアント ID を確認します。
- 省略可: ウェブ以外のプラットフォーム アプリケーション(モバイルやデスクトップなど)で CSE で暗号化されたコンテンツへのアクセスを許可する場合は、Google Workspace 管理コンソールの IdP 設定で、それらのプラットフォームのクライアント ID を追加します。この IdP のすべてのクライアント ID をメモします。Google Identity Platform を使用している場合は、 Google Cloud プロジェクトでこれらのクライアント ID を確認します。他の ID プロバイダの場合は、これらのクライアント ID を個別に作成します。
Cloud KMS の Google Cloud プロジェクトを設定する
Google Workspace 用 Cloud HSM エンドポイントは、暗号オペレーションに Cloud KMS 鍵を使用します。Cloud KMS 鍵をホストする新しい Google Cloud プロジェクトを設定します。
Google Cloud プロジェクトを作成します。これが鍵のプロジェクトになります。プロジェクト ID とプロジェクト番号をメモしておきます。これらは設定を完了するために必要です。
Google Cloud 鍵プロジェクトで Cloud KMS API を有効にします。
Google Cloud コンソールで、[ターミナル] [Cloud Shell をアクティブにする] をクリックします。
プロジェクト ID を Cloud Shell プロンプトのプロジェクト ID と比較して、正しいプロジェクトにいることを確認します。
Cloud Shell を使用して、Cloud HSM for Google Workspace サービス アカウントを作成します。
gcloud beta services identity create --service=cloudkmskacls-pa.googleapis.comこのコマンドで作成されたサービス ID をメモします。次のステップでは、サービス ID 名が必要になります。
作成したサービス アカウントに CHGWS 鍵サービス エージェントのロールを付与します。
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-cloudkmskacls.iam.gserviceaccount.com \ --role=roles/cloudkmskacls.serviceAgent次のように置き換えます。
PROJECT_ID: 鍵プロジェクトのプロジェクト ID。PROJECT_NUMBER: 鍵プロジェクトのプロジェクト番号。
CHGWS サービス エンドポイントを管理する
以降のセクションでは、CHGWS エンドポイントの設定と管理の方法について説明します。
Cloud KMS 鍵を設定する
CHGWS 鍵サービス エンドポイントの Cloud KMS リソースを設定します。
us-central1リージョンにキーリングを作成します。gcloud kms keyrings create KEY_RING --location us-central1KEY_RINGは、CHGWS キーリングに使用する名前に置き換えます(CHGWS_KEY_RINGなど)。Cloud HSM 鍵を作成します。
gcloud kms keys create KEY_NAME \ --protection-level "hsm" \ --keyring KEY_RING \ --location us-central1 \ --purpose "encryption" \ --rotation-period ROTATION_PERIOD \ --next-rotation-time NEXT_ROTATION_TIME次のように置き換えます。
KEY_NAME: 鍵に使用する名前(例:CHGWS_KEY_RING)。KEY_RING: キーリングの名前(例:CHGWS_KEY)。ROTATION_PERIOD: 鍵をローテーションする頻度(例:7d)。NEXT_ROTATION_TIME: 次の鍵のローテーションが発生する日時(例:2024-03-20T01:00:00)。
オンボーディングとエンドポイントの作成をリクエストする
オンボーディングとエンドポイントの作成をリクエストするには、アカウント担当者に連絡して、エンドポイント オンボーディング リクエストの送信についてサポートを依頼してください。リクエストには次の情報を含めます。
Google Workspace の詳細
Google Workspace ID: Google Workspace ID。お客様 ID を確認するの手順に沿って、Google Workspace ID を確認します。
Google Workspace 管理者のメールアドレス: 管理者のメールアドレスをカンマ区切りのリストで指定します。
ID プロバイダ(IdP)の詳細
プライマリ ID プロバイダ(IdP)の詳細:
- IdP JSON Web Key Set(JWKS)URL: Google Identity Platform の場合は、
https://www.googleapis.com/oauth2/v3/certsを使用します。 - JSON Web Token(JWT)トークン発行者: Google Identity Platform の場合は、
https://accounts.google.comを使用します。 - JWT 対象: ウェブ アプリケーションの IdP のクライアント ID。
- 追加の JWT オーディエンス: 省略可。構成されている場合は、ウェブ以外のプラットフォーム アプリケーションのクライアント ID を指定します。Google Identity Platform の場合は、CSE で Google ID を使用する場合に記載されているクライアント ID を使用します。
- IdP JSON Web Key Set(JWKS)URL: Google Identity Platform の場合は、
ゲスト IdP の詳細: 省略可。ゲスト IdP を使用している場合は、このセクションを完了します。
- ゲスト IdP JWKS URL: ゲスト IdP の JWKS URL。
- ゲスト JWT トークン発行元: ゲスト IdP の JWT トークン発行元。
- ゲスト JWT の対象: Google Meet 以外のウェブ アプリケーションのゲスト IdP のクライアント ID。
- ゲストの追加 JWT オーディエンス: 省略可。Google Meet ウェブ クライアント ID またはウェブ以外のプラットフォーム アプリケーションのクライアント ID を構成する場合は、それぞれのクライアント ID を指定します。Google Identity Platform の場合は、CSE で Google ID を使用する場合に記載されているクライアント ID を使用します。
CSE キーの詳細
- Google Cloud プロジェクト ID:
PROJECT_ID - Google Cloud プロジェクト番号:
PROJECT_NUMBER - Cloud KMS 鍵リング名:
KEY_RING - Cloud KMS 鍵リングのロケーション:
us-central1 - Cloud KMS 鍵名:
KEY_NAME - CHGWS ベース URL: 省略可。鍵の移行を有効にする URL のリスト。この Google Workspace で CHGWS を初めて設定する場合は、このフィールドを空白のままにします。
- Google Cloud プロジェクト ID:
詳細情報
- お客様の名前: お客様の名前を入力します。
- 予想されるユーザー数: Google Workspace インスタンスで予想されるユーザー数を入力します。
Google Workspace CSE で CHGWS エンドポイントを構成する
エンドポイント CHGWS の作成時に生成された CHGWS URL を使用するように Google Workspace CSE を構成します。クライアントサイド暗号化で使用する鍵サービスを追加、管理するの手順に沿って操作します。
エンドポイントを移行する
CHGWS は、鍵サービスを CHGWS に移行したり、CHGWS から移行したりする柔軟性を提供します。CHGWS の移行を開始するには、アカウント担当者にお問い合わせのうえ、移行リクエストの送信についてサポートを受けてください。リクエストには、次の情報を含めます。
- Endpoint ID: CHGWS のエンドポイント ID。
- CHGWS ベース URL: CHGWS キーの移行を有効にする URL のリスト。
- Cloud HSM for Google Workspace に移行する場合は、移行元の各 CHGWS エンドポイントのベース URL を指定します。
- Cloud HSM for Google Workspace から移行する場合は、移行先の CHGWS エンドポイントのベース URL を指定します。
2 つの異なる Cloud HSM for Google Workspace エンドポイント間で移行する場合は、2 つの別々のリクエストを送信します。1 つは以前のエンドポイントから、もう 1 つは新しいエンドポイントに送信します。
エンドポイントを削除または無効にする
Cloud HSM for Google Workspace エンドポイントでの削除または無効化オペレーションは直接サポートされていません。ただし、すべてのバックアップ Cloud KMS 鍵バージョンを無効にすることで、Google Workspace 用 Cloud HSM エンドポイントを無効にできます。
エンドポイントをバックアップする Cloud KMS 鍵バージョンごとに、次のコマンドを実行します。
gcloud kms keys versions disable KEY_VERSION --keyring \ KEY_RING --location us-central1 --key KEY_NAME次のように置き換えます。
KEY_VERSION: 無効にするキーのバージョン(例:1)。KEY_RING: キーリングの名前(例:CHGWS_KEY_RING)。KEY_NAME: 鍵の名前(例:CHGWS_KEY)。
エンドポイントを有効にする
基盤となる Cloud KMS 鍵のすべての鍵バージョンを無効にして CHGWS エンドポイントを無効にした場合は、CHGWS エンドポイントを再度有効にできます。エンドポイントを再度有効にするには、次の gcloud CLI コマンドを使用して、基盤となる Cloud KMS 鍵のアクティブなバージョンをすべて有効にします。
エンドポイントをバックアップする Cloud KMS 鍵バージョンごとに、次のコマンドを実行します。
gcloud kms keys versions enable KEY_VERSION \ --keyring KEY_RING --location us-central1 --key KEY_NAME次のように置き換えます。
KEY_VERSION: 無効にするキーのバージョン(例:1)。KEY_RING: キーリングの名前(例:CHGWS_KEY_RING)。KEY_NAME: 鍵の名前(例:CHGWS_KEY)。
次のステップ
- 詳しくは、Cloud HSM for Google Workspace をご覧ください。
- Cloud Key Management Service の詳細を確認する。
- クライアントサイド暗号化で使用する鍵サービスを追加、管理する方法を確認する。