CMEK のサポート

デフォルトでは、Google Cloud Observability は保存されているお客様のコンテンツを 暗号化します。暗号化は、Google Cloud Observability が行うため、お客様側での操作は必要ありません。 このオプションは、Google のデフォルトの暗号化と呼ばれます。

暗号鍵を管理する場合は、Cloud KMS の顧客管理の暗号鍵 (CMEK)を、Cloud KMS などの CMEK 統合サービスで使用できます。Cloud KMS 鍵を使用すると、保護 レベル、ロケーション、ローテーション スケジュール、使用とアクセスの権限、暗号境界を制御できます。 Cloud KMS を使用すると、監査ログを表示し、鍵のライフサイクルを管理することもできます。データを保護する対称鍵暗号鍵(KEK)は Google が所有して管理するのではなく、ユーザーが Cloud KMS でこれらの鍵の制御と管理を行います。

CMEK を使用してリソースを設定した後は、 Google Cloud Observability リソースへのアクセスは、Google のデフォルトの暗号化を使用する場合と同様です。 暗号化 オプションの詳細については、顧客管理の暗号鍵(CMEK)をご覧ください。

Google Cloud Observability は、CMEK を使用してオブザーバビリティ バケットに保存されたデータを暗号化できます。 これらのバケットには、トレースデータが保存されます。このドキュメントでは、サポートされている組織のポリシーの一覧、オブザーバビリティ バケットのデフォルト設定、組織のポリシーとデフォルト設定の連携について説明します。

このドキュメントは、ログバケットに保存されたデータを CMEK で暗号化できる Cloud Logging には適用されません。詳細については、 Cloud Logging の CMEK を構成するをご覧ください。

サポートされている組織のポリシーの制約

オブザーバビリティ バケットの作成場所と、それらのバケットの暗号鍵を管理するユーザーを制御するには、次の組織のポリシーを構成します。

組織、フォルダ、プロジェクト レベルで適用される組織のポリシーを作成できます。詳細については、 ポリシーの作成と編集をご覧ください。

オブザーバビリティ バケットのデフォルト設定について

Google Cloud Observability には、プロジェクト、フォルダ、組織に適用されるオブザーバビリティ バケットのデフォルト設定が用意されています。これらのデフォルト設定は、組織のポリシーと連携して、新しいオブザーバビリティ バケットが優先するロケーションに配置され、指定した暗号化モデルを使用するようにします。

組織、フォルダ、プロジェクトの場合、オブザーバビリティ バケットのデフォルト設定では、次の構成が可能です。

  • デフォルトのストレージ ロケーション。
  • ロケーションごとに、デフォルトの Cloud Key Management Service 鍵。

プロジェクト用に構成した場合、これらの設定はそのプロジェクトで作成された新しいオブザーバビリティ バケットにのみ適用されます。フォルダまたは組織用に構成した場合、これらの設定は、デフォルト設定を構成したプロジェクトを除き、フォルダまたは組織の子孫であるプロジェクトで作成された新しいオブザーバビリティ バケットに適用されます。

詳細については、 オブザーバビリティ バケットのデフォルトを設定するをご覧ください。

組織のポリシーとデフォルト設定の連携

オブザーバビリティ バケットの親はプロジェクトである必要があります。つまり、フォルダや組織にオブザーバビリティ バケットを作成することはできません。ただし、組織またはフォルダのオブザーバビリティ バケットのデフォルト設定を構成すると、それらのデフォルト設定は、その組織またはフォルダの子孫であるすべてのプロジェクトに適用されます。

次の表に、新しいオブザーバビリティ バケットのロケーションを決定するためにシステムが使用するルールを示します。

組織のポリシーを使用して
ロケーションを制限する		 プロジェクト(または祖先)に
デフォルトのストレージ ロケーションがある		 システムが新しいオブザーバビリティ バケットのロケーションを決定する方法
いいえ いいえ

システムは、オブザーバビリティ バケットでサポートされているロケーションからロケーションを選択します。
はい いいえ

システムは、組織のポリシーで許可されているロケーションと、オブザーバビリティ バケットでサポートされているロケーションの共通部分からロケーションを選択します。

共通部分が空の場合、システムは オブザーバビリティ バケットを作成しません。
いいえ はい

システムは、プロジェクトのデフォルト設定で定義されたデフォルトのストレージ ロケーションにロケーションを設定します。プロジェクトでデフォルトのストレージ ロケーションが定義されていない場合、システムは祖先に対して定義されたデフォルトのストレージ ロケーションを使用します。
はい はい

システムは、プロジェクトのデフォルト設定で定義されたデフォルトのストレージ ロケーションにロケーションを設定します。プロジェクトでデフォルトのストレージ ロケーションが定義されていない場合、システムは祖先のデフォルトのストレージ ロケーションを使用します。

デフォルトのストレージ ロケーションが組織のポリシーで許可されていない場合、システムはオブザーバビリティ バケットを作成しません。

次の表に、新しいオブザーバビリティ バケットで CMEK を使用するかどうかを判断するためにシステムが使用するルールと、使用する場合の Cloud KMS 鍵の値を示します。オブザーバビリティ バケットを暗号化するには、Cloud KMS 鍵がバケットのロケーションにあり、組織のポリシーで許可されている必要があります。gcp.restrictCmekCryptoKeyProjects 制約を持つ組織のポリシーを指定しない場合、すべての鍵が許可されます。

組織のポリシーを使用して CMEK を必須とする
 プロジェクト(または祖先)に
デフォルトの Cloud KMS 鍵がある		 システムが使用する Cloud KMS 鍵を決定する方法。
いいえ いいえ

オブザーバビリティ バケットは CMEK を使用しません。
はい いいえ

組織のポリシーで CMEK が必須ですが、デフォルトの Cloud KMS 鍵が定義されていないため、 システムは新しいオブザーバビリティ バケットを作成しません
いいえ はい

暗号化用の鍵を特定するために、システムはまず、 プロジェクトまたはその祖先のいずれかにデフォルトのストレージ ロケーションが設定されているかどうかを判断します。設定されていない場合、システムはロケーションを選択して オブザーバビリティ バケットを作成します。バケットは CMEK を使用しません。

デフォルトのストレージ ロケーションが見つかった場合、システムは プロジェクトのデフォルト設定でデフォルトの Cloud KMS 鍵を検索します。 プロジェクトのデフォルト設定で適切な鍵が指定されていない場合、 システムは祖先のデフォルト設定で、 新しいバケットのロケーションにあるデフォルトの鍵を検索します。

次のいずれかが発生します。

  • 鍵が見つからない: 新しいオブザーバビリティ バケットは CMEK を使用しません。
  • 鍵が見つかり、許可されている: システムは オブザーバビリティ バケットを作成します。
  • 鍵が見つかったが許可されていない: システムは新しいオブザーバビリティ バケットを作成しません
はい はい

暗号化用の鍵を特定するために、システムはまず、 プロジェクトまたはその祖先のいずれかにデフォルトのストレージ ロケーションが設定されているかどうかを判断します。デフォルトのストレージ ロケーションが設定されていない場合、 システムは新しいオブザーバビリティ バケットを作成しません

デフォルトのストレージ ロケーションが見つかった場合、システムは プロジェクトのデフォルト設定でデフォルトの Cloud KMS 鍵を検索します。 プロジェクトのデフォルト設定で適切な鍵が指定されていない場合、 システムは祖先のデフォルト設定で、 新しいバケットのロケーションにあるデフォルトの鍵を検索します。

次のいずれかが発生します。

  • 鍵が見つからない: 新しいオブザーバビリティ バケットは作成されません。
  • 鍵が見つかり、許可されている: システムは オブザーバビリティ バケットを作成します。
  • 鍵が見つかったが許可されていない: システムは新しいオブザーバビリティ バケットを作成しません

制限事項

システムがオブザーバビリティ バケットを作成すると、暗号化モデルは Google のデフォルトの暗号化または顧客管理の暗号化に設定されます。 バケットが存在する場合、暗号化モデルを変更することはできません。

次のステップ