このページでは、顧客管理の暗号鍵(CMEK)を使用して Google Cloud NetApp Volumes を管理する方法について説明します。
CMEK について
NetApp Volumes は常に、ボリューム固有の鍵を使用してデータを暗号化します。NetApp Volumes は常に保存データを暗号化します。
CMEK を使用すると、Cloud Key Management Service は保存されたボリューム鍵をラップします。この機能を使用すると、使用する暗号鍵をより細かく制御でき、データとは異なるシステムまたはロケーションに鍵を保存することでセキュリティを強化できます。 NetApp Volumes は、ハードウェア セキュリティ モジュールなどの Cloud Key Management Service の機能と、生成、使用、ローテーション、破棄の鍵管理ライフサイクル全体をサポートしています。
NetApp Volumes は、リージョンごとに 1 つの CMEK ポリシーをサポートしています。CMEK ポリシーはストレージ プールにアタッチされ、そのプールで作成されたすべてのボリュームで使用されます。リージョンには、CMEK ポリシーがあるストレージ プールとないストレージ プールを混在させることができます。特定のリージョンに CMEK がないプールがある場合は、リージョンの CMEK ポリシーの移行アクションを使用して CMEK に変換できます。
CMEK の使用は任意です。使用する場合、CMEK ポリシーはリージョン固有です。リージョンごとに 1 つのポリシーのみを構成できます。
ONTAP モードのストレージ プールでも CMEK ポリシーが使用されます。ONTAP モードでは、異なる鍵マネージャーを構成できません。
考慮事項
以降のセクションでは、CMEK の制限事項について説明します。
鍵管理
CMEK を使用する場合、鍵とデータについてはお客様が単独で責任を負うことになります。
Cloud KMS の構成
CMEK は、暗号化と復号に対称鍵を使用します。
プロジェクトのリージョン内のすべてのボリュームが削除されると、Cloud KMS の構成は Ready 作成済みの状態に戻ります。そのリージョンで次のボリュームを作成するときに再び使用されます。
リージョン キーリング
NetApp Volumes はリージョン KMS キーリングのみをサポートしており、CMEK ポリシーと同じリージョンに存在する必要があります。
サービスレベル
CMEK は、Flex Unified、Flex File、Standard、Premium、Extreme の各サービスレベルのストレージ プールをサポートしています。
VPC Service Controls
VPC Service Controls の使用方法の詳細については、CMEK の VPC Service Controls 上り(内向き)ルールを構成するをご覧ください。
CMEK 組織のポリシー
NetApp Volumes の CMEK 組織のポリシー を使用すると、組織はデータ 暗号鍵を制御し、CMEK に使用できる鍵を制限できます。これは、新しいストレージ プールと Backup Vault で保存データの暗号化に CMEK の使用を強制し、組織が Cloud KMS を使用して暗号鍵を管理できるようにすることで実現されます。組織のポリシーは、ストレージ プールと Backup Vault の作成時に適用され、既存のストレージ プールと Backup Vault には影響しません。
組織のポリシーを使用すると、管理者 はすべてのプロジェクトとリソースに一貫した制約 を適用して適用できます。これは、複数のプロジェクトとリソースを管理して標準化されたポリシーを適用する組織にとって重要です。
CMEK に適用できる組織のポリシーの制約には、次の 2 種類があります。
CMEK 以外のサービスを制限する: 組織、プロジェクト、フォルダ内のどのサービスを CMEK なしで構成できるかを指定できます。サービスを拒否リストに追加するか、許可リストから除外すると、そのサービスのリソースには CMEK が必要になります。デフォルトでは、この制約により CMEK 以外のリソースを作成できます。
CMEK CryptoKey プロジェクトを制限する: 組織、プロジェクト、フォルダ内でリソースを構成するときに、 KMS 鍵をCMEKに 提供できるプロジェクトを定義できます。この制約を設定すると、指定したプロジェクトの KMS 鍵のみを CMEK で保護されたリソースに使用できます。制約が設定されていない場合は、任意のプロジェクトの CryptoKey を使用できます。
組織のポリシーを適用する方法の詳細については、 CMEK 組織のポリシーを適用するをご覧ください。
CMEK オプション
NetApp Volumes は CMEK をサポートしています。CMEK は、 ソフトウェア鍵、HSM クラスタ内のハードウェア鍵、または Cloud External Key Manager(Cloud EKM)に保存された外部鍵として保存できます。
詳細については、Cloud Key Management Service をご覧ください。
鍵エラーの運用上の影響
無効な Cloud KMS 鍵または CMEK ポリシーで使用されているアクセスできない外部鍵は、そのポリシーに関連付けられた NetApp Volumes と Backup Vault のリソースとオペレーションに影響する可能性があります。
外部鍵はサードパーティによって管理され、 Google Cloud 鍵の可用性については 責任を負いません。
ボリューム
外部鍵にアクセスできないことが External Key Manager(EKM) から Cloud Key Management Service に通知されると、その鍵を使用しているボリュームはオフラインになり、読み取りオペレーションと 書き込みオペレーションができなくなります。Cloud KMS 鍵が無効になっている場合も同様の結果になります。
Backup Vault
CMEK を使用する Backup Vault の場合は、Backup Vault が参照する鍵の可用性を確保する必要があります。鍵をローテーションすると、新しいプライマリ鍵を使用して Backup Vault で再暗号化オペレーションが実行されます。このオペレーションが完了するまで、ローテーションされた鍵は Backup Vault で使用可能にする必要があります。ローテーションされた鍵を削除すると、その鍵を参照するバックアップを復元できません。ローテーションされた鍵にアクセスできないか無効になっている場合、鍵にアクセスできるか有効になるまで復元は失敗します。
主キーが無効、アクセス不可、または破棄された場合、進行中の暗号化オペレーションは失敗します。プライマリ鍵を復元できない場合は、その鍵を参照する暗号化されたバックアップをすべて復元できません。Backup Vault は新しいバックアップ オペレーションを開始しません。
Backup Vault のステータスには、CMEK と暗号化ステータスの詳細が含まれます。
また、EKM にアクセスできない場合や、レプリケーションのソースまたは宛先リージョンで Cloud KMS 鍵が無効になっているときに、次のいずれかのオペレーションを試行すると、鍵の現在の状態に関する詳細を含むエラーがユーザーに送信されます。