Google Cloud はデフォルトで Google-owned and Google-managed encryption keysを使用して保存データを暗号化しますが、顧客管理の暗号鍵(CMEK)を使用して Workload Manager 評価データを暗号化できます。CMEK を使用すると、鍵のローテーション、アクセス、保護レベルを管理して、特定のセキュリティ要件とコンプライアンス要件を満たすことができます。
このドキュメントでは、カスタムルールタイプの評価を作成または更新するとき、およびワークロード マネージャーの評価結果を表示するときに CMEK を構成する方法について説明します。
概要
デフォルトでは、ワークロード マネージャー はお客様のコンテンツを保存時に暗号化します。暗号化はワークロード マネージャーが行うため、ユーザー側での操作は必要ありません。このオプションは、Google のデフォルトの暗号化と呼ばれます。
暗号鍵を管理する場合は、Cloud KMS の顧客管理の暗号鍵(CMEK)を、ワークロード マネージャーなどの CMEK 統合サービスで使用できます。Cloud KMS 鍵を使用すると、保護 レベル、ロケーション、ローテーション スケジュール、使用とアクセスの権限、暗号境界を制御できます。 Cloud KMS を使用すると、監査ログを表示し、鍵のライフサイクルを管理することもできます。データを保護する対称鍵暗号鍵(KEK)は Google が所有して管理するのではなく、ユーザーが Cloud KMS でこれらの鍵の制御と管理を行います。
CMEK を使用してリソースを設定した後は、ワークロード マネージャー リソースへのアクセスは、Google のデフォルトの暗号化を使用する場合と同様です。暗号化 オプションの詳細については、顧客管理の暗号鍵(CMEK)をご覧ください。
制限事項
ワークロード マネージャー の CMEK 暗号化には次の制限が適用されます。
CMEK は、ワークロード マネージャーのカスタムルールタイプの評価でのみ使用できます。SAP の評価やデプロイなどの他の Workload Manager 機能では、保存状態のお客様コンテンツが関与しないため、Google のデフォルトの暗号化が使用されます。
ワークロード マネージャー は、ワークロード マネージャー が所有するストレージにのみ CMEK 鍵を適用します。
始める前に
CMEK を使用する前に、Cloud Key Management Service 鍵を作成し、必要な権限を付与する必要があります。
キーリングと鍵を作成する
プロジェクトを選択し、対称鍵の作成に関する Cloud KMS ガイド に沿ってキーリングと鍵を作成します。キーリングのロケーション は、評価のロケーションと一致している必要があります。
Workload Manager は外部マネージド鍵をサポートしています。 詳細については、Cloud External Key Manager をご覧ください。
権限を付与する
Cloud KMS 鍵へのアクセス権を付与するには、Workload Manager サービス エージェントに
roles/cloudkms.cryptoKeyEncrypterDecrypterロールを付与します。 サービス エージェントはservice-PROJECT_ID@gcp-sa-workloadmanager.iam.gserviceaccount.comです。ここで、PROJECT_ID は評価が作成されるプロジェクトの ID です。
カスタムルールタイプの評価での CMEK の仕組み
このセクションでは、カスタムルールタイプの評価での CMEK の仕組みについて説明します。
KMS 鍵のプロビジョニング
カスタムルールタイプの評価の作成または更新プロセスで、Cloud KMS 鍵を指定できます。このプロビジョニングは省略可能です。Cloud KMS 鍵が指定されていない場合、ワークロード マネージャーは Google のデフォルトの暗号化を使用します。指定された Cloud KMS 鍵が存在し、ワークロード マネージャー サービス アカウントに Cloud KMS 鍵を使用するための暗号化/復号ロール(roles/cloudkms.cryptoKeyEncrypterDecrypter)が割り当てられている必要があります。ワークロード マネージャー は、評価の作成または更新時に Cloud KMS 鍵を検証し、エラーを返します。
データ暗号化
プロビジョニングされた Cloud KMS 鍵を使用して評価を実行すると、ワークロード マネージャーは指定された Cloud KMS 鍵を使用して、ワークロード マネージャーが所有するストレージを暗号化します。
評価オペレーションで使用される一時的な Cloud Storage バケット。 一時的な Cloud Storage バケットは、評価の開始時に作成され、評価の終了時に削除されます。
評価結果が保存される BigQuery データセット。
Workload Manager は、カスタムルールを保存する Cloud Storage バケット内のデータや、評価結果の保存に使用する外部 BigQuery データセット内のデータを暗号化するために、これらの鍵を使用しません。
データアクセス
ワークロード マネージャー は、評価の実行時に、指定された Cloud KMS 鍵のメイン バージョンを使用して評価結果を暗号化します。特定の Cloud KMS 鍵バージョンが有効なままであれば、評価の結果にアクセスして表示できます。
評価結果へのアクセスは、KMS 鍵のローテーションの影響を受けません。 鍵のローテーションにより新しいバージョンが作成され、以前のバージョンは残ります。
鍵がローテーションされても、評価結果は再暗号化されません。
カスタムルールタイプの評価に CMEK を構成する
カスタムルールタイプの評価に CMEK を使用するには、まず Cloud KMS で鍵を作成し、 始める前にの説明に沿って必要な権限を鍵に付与します。その後、この鍵を使用して評価の作成または更新、評価の実行、評価結果の表示を行うことができます。
CMEK を使用して評価を作成する
評価の作成ページの説明と同じ方法で、評価の作成ページの説明と同じ方法で、CMEK を使用してカスタムルールタイプの評価を作成できます。リージョンを選択した後で CMEK を有効にできます。
[暗号化(省略可)] リストで [顧客管理の暗号鍵(CMEK)] を選択します。

Cloud KMS 鍵を選択します。
CMEK を使用して評価を更新する
評価を更新して CMEK 鍵を使用できます。
評価の編集ページで、[暗号化(省略可)] リストの [顧客管理の暗号鍵(CMEK)] を選択します。

Cloud KMS 鍵を選択します。
CMEK を使用して評価結果を表示する
評価結果の表示 ページ の説明と同じ方法で、評価結果を表示できます。追加の作業は必要ありません。
Cloud KMS の割り当てとワークロード マネージャー
ワークロード マネージャーで CMEK を使用すると、プロジェクトで Cloud KMS 暗号リクエストの割り当てを使用できます。たとえば、CMEK で暗号化されたワークロード マネージャー評価では、これらの割り当てを使用できます。 CMEK 鍵を使用する暗号化と復号のオペレーションは、ハードウェア(Cloud HSM)鍵または外部(Cloud EKM)鍵を使用する場合にのみ、Cloud KMS の割り当てに影響します。 詳細については、 Cloud KMS の割り当てをご覧ください。
外部鍵の場合、デフォルトの割り当ては、暗号オペレーションに対して鍵プロジェクト ごとに 100 QPS です。必要に応じて、EKM の割り当ての引き上げをリクエストできます。
次のステップ
- Google Cloudの CMEK について詳細を確認する。
- 他の Google Cloudプロダクトで CMEK を使用する方法を確認する。