Google Workspace 向け Cloud HSM にオンボーディングする

このページでは、Cloud Key Management Service（Cloud KMS）が提供する Google Workspace の暗号鍵サービスである Cloud HSM for Google Workspace（CHGWS）のオンボーディング方法について説明します。Cloud HSM for Google Workspace は、Google Workspace のプライバシー管理を強化し、 DISA IL5 などの規制基準を達成してデータ セキュリティを強化するのに役立ちます。Cloud HSM は、標準に準拠した高可用性のフルマネージド鍵管理サービスです。クラウド規模で運用され、FIPS 140-2 レベル 3 に準拠した HSM（ハードウェア セキュリティ モジュール）にハードウェア格納型鍵が保存されます。

CHGWS は、マルチテナント Cloud HSM 鍵とシングルテナント Cloud HSM 鍵の両方と互換性があります。

詳細については、Cloud HSM for Google Workspace をご覧ください。

始める前に

Cloud HSM for Google Workspace のオンボーディングを行う前に、次の前提条件を満たしてください。

• Google Workspace を設定する。
• Google Workspace で Google Workspace クライアントサイド暗号化（CSE）を有効にする。
• Google Workspace CSE で ID プロバイダ（IdP）を構成する。IdP のクライアント ID をメモします。Google Identity Platform を使用する場合は、 プロジェクトでクライアント ID を確認します。 Google Cloud
• 省略可: ウェブ以外のプラットフォーム アプリケーション（モバイルやデスクトップなど）で CSE で暗号化されたコンテンツへのアクセスを許可する場合は、Google Workspace 管理コンソールの IdP 設定で、それらのプラットフォームのクライアント ID を追加します。この IdP のすべてのクライアント ID をメモします。Google Identity Platform を使用する場合は、 プロジェクトでこれらのクライアント ID を確認します。 Google Cloud 他の ID プロバイダの場合は、これらのクライアント ID を個別に作成します。

互換性のあるロケーション

Cloud KMS 鍵は、米国 またはヨーロッパ の地理的領域内の任意のリージョンまたはマルチリージョンのロケーションに保存できます。Cloud HSM for Google Workspace は、マルチテナント Cloud HSM 鍵とシングルテナント Cloud HSM 鍵の両方をサポートしています。特定のロケーションを見つけるには、Cloud KMS のロケーションにアクセスし、HSM のタイプでフィルタします。

Cloud HSM for Google Workspace は、鍵のロケーションに最も近い次のいずれかのマルチリージョンにエンドポイントを自動的に提供します。

• us
• eur3

Cloud KMS 用の Google Cloud プロジェクトを設定する

Cloud HSM for Google Workspace エンドポイントは、暗号オペレーションに Cloud KMS 鍵を使用します。Cloud KMS 鍵をホストする新しい Google Cloud プロジェクトを設定します。

1. プロジェクトを Google Cloud 作成します。これが鍵のプロジェクトになります。プロジェクト ID とプロジェクト番号をメモします。設定を完了するには、これらが必要です。

2. 作成したプロジェクトで課金を有効にします。

3. 鍵プロジェクトで Cloud KMS API を有効にします。 Google Cloud

   API の有効化

4. コンソールで、terminal [**Cloud Shell をアクティブにする**] をクリックします。 Google Cloud

5. プロジェクト ID を Cloud Shell プロンプトのプロジェクト ID と比較して、正しいプロジェクトにいることを確認します。

6. Cloud Shell を使用して、Cloud HSM for Google Workspace サービス アカウントを作成します。

   gcloud beta services identity create \
       --service=cloudkmskacls-pa.googleapis.com
   

   このコマンドで作成されたサービス ID をメモします。次のステップでサービス ID 名が必要になります。

7. 作成したサービス アカウントにCHGWS 鍵サービス エージェント ロールを付与します。

   gcloud projects add-iam-policy-binding PROJECT_ID \
       --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-cloudkmskacls.iam.gserviceaccount.com \
       --role=roles/cloudkmskacls.serviceAgent
   

   次のように置き換えます。

   • PROJECT_ID: 鍵プロジェクトのプロジェクト ID。
   • PROJECT_NUMBER: 鍵プロジェクトのプロジェクト番号。

CHGWS サービス エンドポイントを管理する

以降のセクションでは、CHGWS エンドポイントの設定と管理の方法について説明します。

Cloud KMS 鍵を設定する

CHGWS 鍵サービス エンドポイントの Cloud KMS リソースを設定します。

1. サポートされているリージョンのいずれかにキーリングを作成します。

   gcloud kms keyrings create KEY_RING --location LOCATION
   

   • KEY_RING は、 CHGWS キーリングに使用する名前に置き換えます（例: CHGWS_KEY_RING）。
   • LOCATION は、キーリングを作成するロケーションに置き換えます（例: us）。

2. Cloud HSM 鍵を作成します。

   マルチテナント Cloud HSM

   保護レベルが hsm の鍵を作成するには:

   gcloud kms keys create KEY_NAME \
       --protection-level "hsm" \
       --keyring KEY_RING \
       --location LOCATION \
       --purpose "encryption" \
       --rotation-period ROTATION_PERIOD \
       --next-rotation-time NEXT_ROTATION_TIME
   

   次のように置き換えます。

   • KEY_NAME: 鍵に使用する名前（例: CHGWS_KEY）。
   • KEY_RING: キー リングの名前（例: CHGWS_KEY_RING）。
   • LOCATION: キーリングを作成したロケーション（例: us）。
   • ROTATION_PERIOD: 鍵をローテーションする頻度（例: 7d）。
   • NEXT_ROTATION_TIME: 次の鍵のローテーションが行われる日時（例: 2024-03-20T01:00:00）。

   シングルテナント Cloud HSM

   保護レベルが hsm_single_tenant の鍵を作成するには、まず同じロケーションにシングルテナント Cloud HSM インスタンスをプロビジョニングする必要があります。

   1. シングルテナント Cloud HSM インスタンスを作成してプロビジョニングする: シングルテナント Cloud HSM インスタンスを作成して管理する の手順に沿って操作します。プロビジョニングされたインスタンス ID をメモします。次のステップでこれを使用します。

   2. 鍵を作成します。

      gcloud kms keys create KEY_NAME \
          --protection-level "hsm_single_tenant" \
          --keyring KEY_RING \
          --location LOCATION \
          --purpose "encryption" \
          --crypto-key-backend "projects/PROJECT_ID/locations/LOCATION/singleTenantHsmInstances/INSTANCE_NAME" \
          --rotation-period ROTATION_PERIOD \
          --next-rotation-time NEXT_ROTATION_TIME
      

      次のように置き換えます。

      • KEY_NAME: 鍵に使用する名前（例: CHGWS_KEY）。
      • KEY_RING: キー リングの名前（例: CHGWS_KEY_RING）。
      • LOCATION: キーリングを作成したロケーション（例: us）。
      • PROJECT_ID: 鍵プロジェクトのプロジェクト ID。
      • INSTANCE_NAME: 鍵を作成するシングルテナント Cloud HSM インスタンスの名前。
      • ROTATION_PERIOD: 鍵をローテーションする頻度（例: 7d）。
      • NEXT_ROTATION_TIME: 次の鍵のローテーションが行われる日時（例: 2024-03-20T01:00:00）。

   鍵の作成オプションの詳細については、鍵を作成するをご覧ください。

オンボーディングとエンドポイントの作成をリクエストする

オンボーディングとエンドポイントの作成をリクエストするには、アカウント担当者にお問い合わせのうえ、エンドポイントのオンボーディング リクエストの送信についてサポートを受けてください。リクエストには、次の情報を含めます。

• Google Workspace の詳細

  • Google Workspace ID: Google Workspace ID。Google Workspace ID を確認するには、 お客様 ID を確認するの手順に沿って操作します。

  • Google Workspace 管理者のメールアドレス: 管理者のメールアドレスを カンマ区切りで指定します。

• ID プロバイダ（IdP）の詳細

  • プライマリ ID プロバイダ（IdP）の詳細:

    • IdP JSON Web Key Set（JWKS）URL: Google Identity Platform の場合は、 https://www.googleapis.com/oauth2/v3/certs を使用します。
    • JSON Web Token（JWT）トークン発行者: Google Identity Platform の場合は、 を使用しますhttps://accounts.google.com.
    • JWT オーディエンス: ウェブ アプリケーション用の IdP のクライアント ID。
    • 追加の JWT オーディエンス: 省略可。ウェブ以外のプラットフォーム アプリケーションのクライアント ID を構成している場合は、指定します。Google Identity Platform の場合は、 CSE で Google ID を使用する場合に記載されている クライアント ID を使用します。

  • ゲスト IdP の詳細: 省略可。ゲスト IdP を使用している場合は、このセクションを記入します。

    • ゲスト IdP JWKS URL: ゲスト IdP の JWKS URL。
    • ゲスト JWT トークン発行者: ゲスト IdP の JWT トークン発行者。
    • ゲスト JWT オーディエンス: Google Meet を除く、ウェブ アプリケーション用のゲスト IdP のクライアント ID。
    • ゲストの追加の JWT オーディエンス: 省略可。Google Meet ウェブ クライアント ID またはウェブ以外のプラットフォーム アプリケーションのクライアント ID を構成する場合は、それぞれのクライアント ID を指定します。Google Identity Platform の場合は、 CSE で Google ID を使用する場合に記載されている クライアント ID を使用します。

• CSE 鍵の詳細

  • Google Cloud プロジェクト ID: PROJECT_ID
  • Google Cloud プロジェクト番号: PROJECT_NUMBER
  • Cloud KMS キーリング名: KEY_RING
  • Cloud KMS キーリングのロケーション: LOCATION
  • Cloud KMS 鍵名: KEY_NAME
  • Cloud KMS 鍵の保護レベル: hsm または hsm_single_tenant のいずれかである必要があります
  • CHGWS ベース URL: 省略可。鍵の移行を有効にする URL のリスト。この Google Workspace で CHGWS を初めて設定する場合は、このフィールドを空白のままにします。

• 詳細情報

  • お客様の名前: お客様の名前を入力してください。
  • 想定されるユーザー数: Google Workspace インスタンスの想定されるユーザー数を入力します。

Google Workspace CSE で CHGWS エンドポイントを構成する

CHGWS エンドポイントの作成時に生成された CHGWS URL を使用するように Google Workspace CSE を構成します。クライアントサイド暗号化で使用する鍵サービスを追加、管理する の手順に沿って操作します。

エンドポイントを移行する

CHGWS では、鍵サービスを CHGWS に移行したり、CHGWS から移行したりできます。CHGWS の移行を開始するには、アカウント担当者にお問い合わせのうえ、移行リクエストの送信についてサポートを受けてください。リクエストには、次の情報を含めます。

• エンドポイント ID: CHGWS のエンドポイント ID。
• CHGWS ベース URL: CHGWS 鍵の 移行 を有効にする URL のリスト。
  • Cloud HSM for Google Workspace に移行する場合は、移行元の各 CHGWS エンドポイントのベース URL を指定します。
  • Cloud HSM for Google Workspace から移行する場合は、移行先の CHGWS エンドポイントのベース URL を指定します。

2 つの異なる Cloud HSM for Google Workspace エンドポイント間で移行する場合は、2 つの リクエストを個別に送信します。1 つは以前のエンドポイントから、もう 1 つは新しい エンドポイントへです。

エンドポイントを削除または無効にする

Cloud HSM for Google Workspace エンドポイントでの削除または無効化オペレーションは直接サポートされていません。ただし、Cloud HSM for Google Workspace エンドポイントを無効にするには、バッキング Cloud KMS 鍵のすべてのバージョンを無効にします。

• エンドポイントをバッキングする Cloud KMS 鍵バージョンごとに、次のコマンドを実行します。

  gcloud kms keys versions disable KEY_VERSION --keyring \
      KEY_RING --location LOCATION --key KEY_NAME
  

  次のように置き換えます。

  • KEY_VERSION: 無効にする鍵のバージョン（例: 1）。
  • KEY_RING: キーリングの名前（例: CHGWS_KEY_RING）。
  • LOCATION: 無効にするロケーション（例: us）。
  • KEY_NAME: 鍵の名前（例: CHGWS_KEY）。

エンドポイントを有効にする

バッキング Cloud KMS 鍵のすべての鍵バージョンを無効にして CHGWS エンドポイントを無効にした場合は、CHGWS エンドポイントを再度有効にできます。エンドポイントを再度有効にするには、次の gcloud CLI コマンドを使用して、バッキング Cloud KMS 鍵のすべてのアクティブ バージョンを有効にします。

• エンドポイントをバッキングする Cloud KMS 鍵バージョンごとに、次のコマンドを実行します。

  gcloud kms keys versions enable KEY_VERSION --keyring \
      KEY_RING --location LOCATION --key KEY_NAME
  

  次のように置き換えます。

  • KEY_VERSION: 有効にする鍵のバージョン（例: 1）。
  • KEY_RING: キーリングの名前（例: CHGWS_KEY_RING）。
  • LOCATION: 有効にするロケーション（例: us）。
  • KEY_NAME: 鍵の名前（例: CHGWS_KEY）。

CHGWS の課金を管理する

オンボーディング リクエストでリクエストした CHGWS エンドポイントが提供されると、すぐに課金が開始されます。その時点から、プロジェクトで課金が有効になっている限り、CHGWS エンドポイントを無効にしても、Cloud HSM for Google Workspace の定期購入料金が継続して発生します。 Google Cloud このセクションでは、Cloud HSM for Google Workspace の料金の発生を停止する方法と、料金の発生を再開する方法について説明します。

プロジェクトの課金を無効/有効にする

Cloud HSM for Google Workspace の Cloud KMS 鍵を含むプロジェクトの課金を無効にできます。課金を無効にすると、プロジェクト内のすべての有料サービスが停止します。プロジェクト レベルの課金が無効になると、24 時間以内に Cloud HSM for Google Workspace の定期購入料金の請求が停止します。

Cloud HSM for Google Workspace の使用を再開する場合は、プロジェクトの課金を 再度有効にできます。課金が再度有効になると、定期購入料金が再開され、CHGWS エンドポイントと Cloud KMS 鍵が再び正常に機能します。

手動での無効化または有効化をリクエストする

他のプロジェクト リソースをアクティブな状態に保ちながら CHGWS エンドポイントを無効にする必要がある場合は、オンボーディング リクエストと同様のリクエストを送信します。Google Workspace の詳細、CHGWS エンドポイント ID、その他の関連情報を提供し、要件を説明します。手動チケットの完了には、CHGWS チームで 48 時間かかることがあります。リクエストが完了すると、24 時間以内に Cloud HSM for Google Workspace の定期購入料金の請求が停止します。

同様のリクエストを作成することで、CHGWS エンドポイントとその課金を再度有効にできます。

プロジェクトを削除または復元する

Cloud HSM for Google Workspace の Cloud KMS 鍵を含むプロジェクトを削除できます。プロジェクトを削除すると、プロジェクト内のすべてのサービスが停止します。削除したプロジェクトは、削除後 30 日以内であれば 復元できます。 ただし、プロジェクト内の Cloud KMS 鍵は復元できないため、復元されたプロジェクト内の鍵で暗号化されたドキュメントやその他のデータは完全に暗号化されたままになります。削除したプロジェクトを復元すると、Cloud KMS 鍵は復元できませんが、Cloud HSM for Google Workspace の定期購入料金が再開されます。

次のステップ

• Cloud HSM for Google Workspace の詳細を確認する。
• Cloud Key Management Service の詳細を確認する。
• クライアントサイド暗号化で使用する鍵サービスを 追加、管理する方法を確認する。