データ所在地またはデータ暗号化の構成を変更する

このドキュメントでは、組織で Security Command Center を有効にした後、スタンダード ティアとプレミアム ティアで データ所在地データ暗号化 の構成を変更する方法について説明します。 このセクションでは、次の方法について説明します。

  • データ所在地の有効化または無効化、データ所在地の変更。
  • Google マネージド暗号鍵または Cloud Key Management Service 鍵を使用するようにデータ暗号化の構成を変更する。
  • Cloud KMS 鍵を変更する。

制限事項

この機能には、次の制限が適用されます。

  • データ移行は週に 1 回のみ実行できます。データ所在地またはデータ暗号化を複数回変更する場合は、変更の間隔を 1 週間以上空けてください。

  • Security Command Center がプロジェクト レベルでのみ有効になっている場合、この機能はサポートされません。

  • データ移行中、notificationConfigs リソースは v1 構造 から v2 構造に更新されます。

    source_properties フィールドは v2 API ではサポートされていません。必要に応じて、Pub/SubBigQueryのエクスポート構成を更新します。

    詳細については、 Security Command Center API の v2 に移行するをご覧ください。

始める前に

構成を変更する前に、次の操作を行います。

  1. 変更を計画する。
  2. 必要なロールが付与されていることを確認する。
  3. データ所在地または鍵を変更する場合は、Cloud Key Management Service 鍵を作成するか、見つける。
  4. データ所在地を変更する場合は、ミュートルールとエクスポート構成を準備する。

変更を計画する

デフォルトの global データ所在地から移行する場合は、 データ所在地の計画を 読んで、Security Command Center がデータ所在地をどのようにサポートしているかを確認してください。

データ暗号化を Google マネージド 暗号鍵から Cloud KMS 鍵に変更する場合は、 Security Command Center の CMEK を有効にするを読んで、 Security Command Center で顧客管理の暗号鍵(CMEK)を使用する方法を確認してください。

一括エクスポートを実行していないときに構成の変更を計画します。一括エクスポートを開始した場合は、そのプロセスが完了するまで待ちます。

構成を変更した後、検出結果の量に応じて、データ移行プロセスに 4 時間から 24 時間かかることがあります。この間、Security Command Center と 有効になっている組み込みの検出サービス は一時的に一時停止します。

  • Security Command Center は検出結果を生成または更新しません。 統合サービスまたはサードパーティ サービスから Security Command Center に送信された検出結果は受信されません。
  • Security Command Center から他のリソースへのデータ エクスポートは一時停止します。
  • コンソールの Security Command Center ページにアクセスできません。
  • 次の Security Command Center API は使用できません。

    • securitycenter.googleapis.com
    • securitycentermanagement.googleapis.com

    移行中に API メソッドが呼び出されると、 FAILED_PRECONDITION エラーが返され、メッセージ API access is temporarily unavailable due to an ongoing data migration が表示されます。

移行が完了すると、Security Command Center と組み込みサービスが自動的に再起動します。

Security Command Center が他のプロダクトと統合されている場合、移行中にこれらの接続が中断される可能性があります。

データ所在地の構成を変更すると、特定のフィールドが新しいロケーション識別子(global から us など)で更新されます。これは、次のリソースに影響します。

  • 検出結果: namecanonicalNames の値。
  • ミュートルール: nameMuteConfig 値。

これらのフィールド値に依存する検出結果の検索クエリ、外部システム、スクリプトを更新することを計画します。

必要なロール

Security Command Center のデータ所在地またはデータ暗号化を移行するために必要な権限を取得するには、組織に対するSecurity Center 管理者 roles/securitycenter.admin)IAM ロールを付与するよう管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織に対するアクセス権の管理をご覧ください。

必要な権限は、カスタム ロールや他の事前定義 ロールから取得することもできます。

Cloud Key Management Service 鍵を作成するか、見つける

次のいずれかに該当する場合は、鍵プロジェクトと Cloud Key Management Service 鍵を作成します。

  • Cloud Key Management Service 鍵を変更する予定がある。

  • Cloud Key Management Service 鍵を使用しているときに、データ所在地の構成を変更する予定がある。この場合は、Cloud Key Management Service 鍵を再度選択する必要があります。

詳細については、Security Command Center の CMEK を有効にするをご覧ください。

ミュートルールとエクスポート構成を準備する

データ所在地を変更する場合は、ロケーション識別子を使用してフィールド値に依存する次の構成を更新します。

  • 検出結果のミュートルール
  • Pub/Sub の継続的エクスポート

フィールド値を変更して、新しいロケーション識別子(global から us など)を使用します。

構成を変更して移行を開始する

グローバル コンソールまたは管轄区域 Google Cloud コンソールを使用して 、データ所在地またはデータ暗号化の構成を変更できます。コンソールを選択する際は、次の点に注意してください。

  • CMEK 鍵の選択: [Cloud KMS] 鍵メニューには、コンソールと同じ管轄区域にある鍵のみが表示されます 。global コンソールを使用すると、メニューにすべての鍵が表示されます。
  • 通知の取得: Google Cloud コンソール通知 通知は、データ所在地の移行を開始したユーザーにのみ表示され、設定の構成に使用した 同じコンソール(グローバルまたは管轄区域)でのみ表示されます。

データ所在地の構成、データ暗号化の構成、またはその両方を変更できます。

  1. コンソールで、[設定] > [設定の詳細] に移動します。 Google Cloud

    [設定の詳細] に移動

  2. Security Command Center が有効になっている組織を選択します。

  3. [データ所在地と暗号化を管理] をクリックします。

  4. [**データ所在地の管理**] で、データ所在地を有効または無効にします。 データ所在地を有効にする場合は、データ所在地 を選択します。既存の選択を変更しない場合、データ移行プロセスでは、検出結果とリソースのフィールド値のロケーション識別子は変更されません。

  5. [続行] をクリックします。

  6. [データ暗号化の管理] で、[暗号化] 構成を選択します。

    • [Google マネージド暗号鍵] または [Cloud KMS 鍵] を選択します。
    • [Cloud KMS 鍵] を選択した場合は、次の操作を行います。

      • [参照] をクリックして、鍵が保存されているプロジェクトを選択します。
      • 顧客管理の鍵 を選択します。

    組織で Cloud KMS 鍵を使用しており、データ所在地の構成を変更した場合は、鍵プロジェクトと Cloud Key Management Service 鍵を再度選択する必要があります。

  7. 変更内容を確認し、[移行を開始] をクリックします。[キャンセル] をクリックして戻り、選択を変更します。

  8. [データ移行を開始] ダイアログで、組織 ID を入力して確認し、[データ移行を確認] をクリックします。

  9. データ移行のステータス ページが表示され、移行が進行中であることが示されます。

    データ移行が進行中の間は、Security Command Center ページにアクセスできません。 移行中に Security Command Center にアクセスしようとすると、移行ステータス ページが表示されます。

  10. 移行が完了すると、ステータス ページに、新しく構成されたロケーションでコンソールを開くリンクが表示されます。

データ移行後に機能を確認する

移行が完了したら、Security Command Center、関連サービス、統合が想定どおりに動作することを確認します。

  • Security Command Center が使用可能で、以前に有効にしたサービスが有効になっていることを確認します。

  • データ エクスポート構成で正しいリソースが指定されていることを確認します。

    • BigQuery エクスポート構成で正しいデータセットが指定されている。 BigQuery のストリーミング エクスポートをご覧ください。

    • Pub/Sub エクスポート構成で正しいトピックが定義されている。Pub/Sub の検出結果の通知をご覧ください。

  • データ所在地の構成を変更した場合は、次の点を更新します。

    • ミュートルール: 検出結果の name または canonicalName に依存するルールを更新します。

    • 検出結果の name または canonicalName に依存するフィルタと検出結果のクエリを更新して、新しいロケーションを指定します。

    • 検出結果のクエリが想定どおりに動作することを確認します。

  • Cloud Hub、Application Design Center、GKE セキュリティ対策ダッシュボード、Google SecOps データ取り込みなどの Google Cloud サービスとの統合が想定どおりに動作していることを確認します。

次のステップ