パートナー管理の鍵を維持する

Sovereign Controls by Partners のお客様は、別のワークフローを使用して Cloud External Key Manager(Cloud EKM)の鍵を管理します。独自の外部鍵マネージャーを設定して管理する代わりに、 Google Cloud とパートナーがこれらの手順を処理します。つまり、パートナーはリクエストに応じて鍵と鍵バージョンを管理します。

このページでは、パートナー管理の Cloud Key Management Service プロジェクト(一般に鍵管理プロジェクトと呼ばれます)で、一般的な鍵オペレーションのリクエストを送信する方法について説明します。

始める前に

鍵オペレーション リクエストを行う前に、少なくとも 1 つの鍵を含むキーリングが必要です。

鍵のリソース名を取得する

鍵のオペレーション リクエストでは、変更する鍵または鍵バージョンのリソース名を指定する必要があります。

  • バージョンを作成するか、鍵をローテーションするには、リソース名を指定する必要があります。
  • 鍵バージョンを更新または破棄するには、鍵バージョンのリソース名を指定する必要があります。

Issue Tracker のリクエスト

Issue Tracker は、Google とそのパートナーが専門的なプロジェクトのリクエストを追跡するために使用するツールです。パートナーが管理する Cloud Key Management Service プロジェクトの場合、Issue Tracker を使用してパートナーにリクエストを送信します。パートナーは、Cloud Key Management Service プロジェクトでリクエストを処理し、外部鍵マネージャーで鍵を管理します。

組織の Issue Tracker へのリンクは、ウェルカム メールに記載されています。

一般的なキー操作

鍵バージョンを作成する

Issue Tracker を使用して、新しい鍵バージョンのリクエストを送信します。新しい鍵バージョンが最初の鍵バージョンである場合、または他の鍵バージョンがない場合は、新しい鍵バージョンがプライマリ バージョンとして設定されます。

Issue Tracker で、[鍵バージョンの作成] を選択し、鍵のリソース名を指定します。[作成] をクリックしてリクエストを送信します。

鍵をローテーションする

Issue Tracker で、チケットの本文に「Rotate key」と記載し、鍵のリソース名を指定します。[作成] をクリックしてリクエストを送信します。

鍵がローテーションされると、パートナーは EKM で新しい鍵マテリアルを生成し、Cloud Key Management Service プロジェクトに新しい鍵バージョンを作成して、その新しい鍵バージョンをプライマリ バージョンとして設定します。

鍵バージョンをローテーションすると、その鍵で保護されている新しく作成されたすべてのデータが新しい鍵マテリアルで暗号化されます。以前の鍵マテリアルで保護されたデータは再暗号化されません。そのため、以前の鍵マテリアルは引き続き使用できるようにする必要があります。

鍵バージョンの無効化

Google Cloud コンソール、Google Cloud CLI、または Cloud KMS クライアント ライブラリを使用して、有効状態の鍵バージョンを無効にできます。鍵バージョンを無効にすると、その状態は [無効] に変わります。詳細については、Cloud KMS ドキュメントの鍵バージョンの有効化と無効化をご覧ください。

鍵バージョンを破棄する

鍵バージョンを破棄するには、Cloud KMS で鍵バージョンの破棄をスケジュールします。これにより、Cloud KMS 鍵が破棄され、その鍵で暗号化されたデータにはアクセスできなくなります。

パートナーの EKM で鍵を破棄する場合:

  1. 鍵バージョンの破棄をスケジュールする
  2. Issue Tracker で、チケットの本文で [Destroy key version] を選択し、削除する鍵バージョンのリソース名を指定します。
  3. [作成] をクリックしてリクエストを送信します。

パートナーは、鍵の破棄リクエストを確認してから処理を進めます。破棄が確認されると、パートナーは鍵が破棄される日時を指定します。鍵は破棄される前に復元できます。

鍵が破棄されるまでの期間に鍵バージョンを復元すると、Cloud KMS 鍵とパートナーの EKM の鍵の両方が残ります。

破棄がスケジュールどおりに続行されると、最初に Cloud KMS 鍵が削除され、次にパートナーの EKM の鍵が削除されます。

応答時間

Issue Tracker は、ルーティン キー管理オペレーションでのみ使用してください。Issue Tracker のリクエストを送信すると、通常は 1 営業日以内にパートナーから回答が届きます。

関連情報