このページは Cloud Translation API によって翻訳されました。

Security Command Center の CMEK を有効にする

デフォルトでは、Security Command Center はお客様のコンテンツを保存時に暗号化します。Security Command Center では、ユーザーが追加で操作を行わなくても暗号化が行われます。このオプションは、Google のデフォルトの暗号化と呼ばれます。

暗号鍵を管理する場合は、Cloud KMS の顧客管理の暗号鍵（CMEK）を、Security Command Center などの CMEK 統合サービスで使用できます。Cloud KMS 鍵を使用すると、保護レベル、ロケーション、ローテーションスケジュール、使用とアクセスの権限、暗号境界を制御できます。 Cloud KMS を使用すると、鍵の使用状況を追跡すること、監査ログを表示すること、鍵のライフサイクルを管理することが可能です。データを保護する対称鍵暗号鍵（KEK）は Google が所有して管理するのではなく、ユーザーが Cloud KMS でこれらの鍵を制御および管理します。

CMEK を使用してリソースを設定した後は、Security Command Center リソースへのアクセスは、Google のデフォルトの暗号化を使用する場合と同様です。暗号化オプションの詳細については、顧客管理の暗号鍵（CMEK）をご覧ください。

職掌分散をサポートし、鍵へのアクセスを詳細に制御するには、他の Google Cloud リソースを含む別のプロジェクト内で鍵を作成し、管理することをおすすめします。

Security Command Center で CMEK を使用するには、組織で Security Command Center を有効にするときに CMEK を構成する必要があります。プロジェクトレベルでの有効化中に CMEK を構成することはできません。詳細については、組織で Security Command Center Standard または Premium を有効にするをご覧ください。

Security Command Center で CMEK を使用すると、プロジェクトで Cloud KMS 暗号リクエストの割り当てが消費されることがあります。CMEK で暗号化されたインスタンスは、Security Command Center でデータを読み書きするときに割り当てを消費します。 CMEK 鍵を使用する暗号化と復号の処理は、ハードウェア（Cloud HSM）鍵または外部（Cloud EKM）鍵を使用する場合にのみ、Cloud KMS の割り当てに影響します。詳細については、Cloud KMS の割り当てをご覧ください。

CMEK は、Security Command Center と Security Command Center API で次のデータを暗号化します。

検出結果
通知構成
BigQuery Export
ミュートの構成

始める前に

Security Command Center の CMEK を設定する前に、次の操作を行います。

Google Cloud CLI をインストールして初期化します。
1. Install the Google Cloud CLI.
2. If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
3. To initialize the gcloud CLI, run the following command:
```
gcloud init
```
Cloud KMS が有効になっている Google Cloud プロジェクトを作成します。これが鍵のプロジェクトになります。
正しいロケーションにキーリングを作成します。キーリングのロケーションは、Security Command Center を有効にするロケーションと一致している必要があります。各 Security Command Center のロケーションに対応するキーリングのロケーションを確認するには、このドキュメントの鍵のロケーションにある表をご覧ください。キーリングの作成方法の詳細については、キーリングを作成するをご覧ください。
キーリングに Cloud KMS 鍵を作成します。キーリングに鍵を作成する方法の詳細については、鍵を作成するをご覧ください。
Cloud Security Command Center サービスアカウントがデータの暗号化と復号に必要な権限を持つようにするため、Cloud KMS 鍵に対する Cloud KMS CryptoKey の暗号化 / 復号（roles/cloudkms.cryptoKeyEncrypterDecrypter）IAM ロールを Cloud Security Command Center サービスアカウントに付与するよう管理者に依頼してください。
重要: このロールは、ユーザーアカウントではなく、Cloud Security Command Center サービスアカウントに付与する必要があります。正しいプリンシパルにロールを付与しないと、権限エラーが発生する場合があります。
ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。

管理者は、カスタムロールや他の事前定義ロールを使用して、Cloud Security Command Center サービスアカウントに必要な権限を付与することもできます。

鍵のロケーション

Cloud KMS 鍵のロケーションは、Security Command Center を有効にしたロケーションに対応している必要があります。次の表で、どの Cloud KMS 鍵のロケーションがどの Security Command Center のロケーションに対応しているかを確認してください。

Security Command Center のロケーション	Cloud KMS 鍵のロケーション
`eu`	`europe`
`global`	`us`
`sa`	`me-central2`
`us`	`us`

Security Command Center を有効にするときにデータ所在地を有効にしない場合は、Security Command Center のロケーションに global を使用し、Cloud KMS 鍵のロケーションに us を使用します。データ所在地について詳しくは、データ所在地に関する計画をご覧ください。

制限事項

有効にする組織に Security Command Center を含むプロジェクトが 1 つ以上ある場合、その組織の Security Command Center に CMEK を使用することはできません。

Security Command Center を有効にした後は、Cloud KMS 鍵を変更したり、Google-owned and Google-managed encryption key に切り替えることはできません。

鍵をローテーションすると、Security Command Center で新しい鍵バージョンが使用されます。ただし、一部の Security Command Center 機能では、30 日間は古い鍵が引き続き使用されます。

Security Command Center 用に CMEK を設定する

Security Command Center で CMEK を使用するには:

組織の Security Command Center の設定時に、[サービスの選択] ページの [データ暗号化] で、[Change data encryption key management solution (optional)] を選択します。[暗号化] オプションが開きます。
[Cloud KMS 鍵] を選択します。
プロジェクトを選択します。
鍵を選択します。有効にする組織に属していないプロジェクトを含め、任意の Google Cloud プロジェクトから鍵を選択できます。互換性のあるロケーションの鍵のみがリストに表示されます。Security Command Center の CMEK 鍵のロケーションの詳細については、鍵のロケーションセクションの表をご覧ください。

ロールを付与して Security Command Center の設定を完了すると、Security Command Center は選択した Cloud KMS 鍵を使用してデータを暗号化します。

CMEK 構成を確認する

Security Command Center の CMEK が正常に設定されたことを確認するには:

Security Command Center で、[設定] を選択します。
[ティアの詳細] タブに移動します。
[詳細を設定] > [データ暗号化] で、Security Command Center の CMEK が設定されている場合、鍵の名前は [データ暗号化] の後にリンクとして表示されます。

料金

Security Command Center スタンダードとプレミアムで CMEK を有効にするための追加料金は発生しませんが、Security Command Center が CMEK を使用してデータの暗号化と復号を行う場合、Cloud KMS で料金が発生します。詳細については、Cloud KMS の料金をご覧ください。

Security Command Center へのアクセス権を復元する

CMEK が有効になっている場合、Security Command Center サービスアカウントが機能するには、Cloud KMS 鍵へのアクセス権が必要です。CMEK に対するサービスアカウントの権限を取り消したり、CMEK を無効にしたり、CMEK の破棄をスケジュールしないでください。これらのアクションを行うと、次の Security Command Center の機能がすべて停止します。

検出結果
継続的エクスポートの構成
BigQuery Export
ミュートルール

Cloud KMS 鍵が使用できない状態で Security Command Center を使用しようとすると、Security Command Center にエラーメッセージが表示されるか、API で FAILED_PRECONDITION エラーが発生します。

Cloud KMS 鍵が原因で Security Command Center の機能が失われる原因は次のとおりです。

サービスアカウントの鍵に対する Cloud KMS CryptoKey の暗号化 / 復号ロールが取り消された可能性があります。鍵が取り消された後に Security Command Center へのアクセスを復元できます。
Cloud KMS 鍵が無効になっている可能性があります。鍵が無効になった後、Security Command Center へのアクセスを復元できます。
鍵の破棄がスケジュールされている可能性があります。鍵の破棄がスケジュールされた後に Security Command Center へのアクセスを復元できます。

鍵が取り消された後に Security Command Center へのアクセス権を復元する

Security Command Center で鍵へのアクセス権を復元するには、鍵に対する Cloud KMS CryptoKey の暗号化 / 復号ロールを Cloud Security Command Center サービスアカウントに付与します。

gcloud kms keys add-iam-policy-binding KEY_NAME \
    --keyring KEY_RING \
    --location LOCATION \
    --member=serviceAccount:service-org-ORG_NUMBER@security-center-api.iam.gserviceaccount.com \
    --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

次のように置き換えます。

KEY_RING: Cloud KMS 鍵のキーリング
LOCATION: Cloud KMS 鍵のロケーション
KEY_NAME: Cloud KMS 鍵の名前
ORG_NUMBER: 組織番号

鍵が無効になった後に Security Command Center へのアクセス権を復元する

無効になっている鍵を有効にする方法については、鍵バージョンを有効にするをご覧ください。

鍵の破棄がスケジュールされた後に Security Command Center へのアクセス権を復元する

破棄がスケジュールされている鍵の復元方法については、鍵バージョンの破棄と復元をご覧ください。

鍵を破棄すると、復元できなくなり、Security Command Center へのアクセスを復元できなくなります。