このページは Cloud Translation API によって翻訳されました。

Google Security Operations の CMEK

このドキュメントでは、Google Security Operations に顧客管理の暗号鍵（CMEK）を構成する方法について概説します。Google SecOps は、お客様が追加の操作を行うことなく、デフォルトで Google のデフォルトの暗号化を使用して、お客様のデータを保存時に暗号化します。ただし、暗号鍵をより細かく制御する場合や、組織で義務付けられている場合は、Google SecOps インスタンスで CMEK を使用できます。

CMEK は、ユーザーが所有、管理し、Cloud Key Management Service に保存する暗号鍵です。CMEK を使用すると、ライフサイクル、ローテーション、アクセスポリシーの管理など、暗号鍵を完全に制御できます。CMEK を構成すると、サービスは指定された鍵を使用してすべてのデータを自動的に暗号化します。CMEK の詳細を学習する。

Cloud KMS で CMEK を使用する

暗号鍵を管理するには、Google SecOps などの CMEK 統合サービスで Cloud KMS の CMEK を使用します。

これらの鍵は Cloud KMS で管理および保存します。
Google SecOps Data Lake のデータは保存時に暗号化されます。
CMEK を使用して Google SecOps インスタンスを構成すると、選択した Cloud KMS 鍵を使用して、データレイク内の保存データを暗号化します。
Cloud KMS で CMEK を使用すると、使用パターンによっては追加費用が発生する場合があります。

暗号鍵を管理するには、Google SecOps などの CMEK 統合サービスで Cloud KMS の CMEK を使用します。これらの鍵は Cloud KMS で管理および保存します。SecOps Data Lake のデータは保存時に暗号化されます。Google SecOps インスタンスを CMEK で構成すると、Google SecOps は選択した Cloud KMS 鍵を使用して、データレイク内の保存データを暗号化します。Cloud KMS で CMEK を使用すると、使用パターンによっては追加費用が発生する場合があります。Cloud KMS の料金の詳細を確認する。

リージョン別の CMEK サポート

次のリージョンは CMEK をサポートしています。

europe-west3（フランクフルト、ドイツ）
europe-west2（ロンドン、英国）
europe-west12（トリノ、イタリア）

CMEK を有効にする

次の手順は、Google SecOps で CMEK をオンボーディングするプロセスの概要を示しています。

Google SecOps インスタンスの構成をプロビジョニングする: プロビジョニングの招待を承諾して開始します。専門の Google SecOps チームが、特別な構成と統合を処理します。
インスタンスをホストするリージョンに Cloud KMS 鍵を作成します。
新しい Google SecOps インスタンスを作成し、ステップ 2 で作成した CMEK 鍵を選択します。インスタンスの作成時に、Google SecOps にこの鍵へのアクセス権を付与するよう求められます。
省略可: 鍵ごとに鍵のローテーションをスケジュールします。鍵の不正使用による影響を最小限に抑えるために、このセキュリティ対策を推奨していました。

オンボーディングが完了すると、そのインスタンスの API または UI を使用して鍵を指定する必要がなくなります。

鍵管理

鍵は Cloud KMS を使用して管理します。Google SecOps は、Cloud KMS によって伝播されるまで、鍵の変更を検出または処理できません。通常、権限の変更はすぐに反映されますが、鍵の無効化や削除などの大きな変更は、Google SecOps で反映されるまでに最長で 4 時間かかることがあります。Cloud KMS と Cloud KMS サービスレベル目標の詳細を確認する。

CMEK 鍵を無効にすると、Google SecOps はデータにアクセスできなくなり、データを処理できなくなります。つまり、Google SecOps は既存のデータを読み取り、書き込み、更新できず、新しいデータを取り込むこともできません。キーを再び有効にしないと、データは 30 日後に削除されます。KMS 鍵へのアクセスを再度有効にすると、鍵が無効になってから生成された新しいデータの取り込みと処理が Google SecOps によって自動的に開始されます。

Google SecOps は、次の 2 種類の鍵管理をサポートしています。

Cloud KMS 鍵を作成する（推奨）
Cloud External Key Manager（Cloud EKM）（Cloud EKM）を使用する - Cloud EKM 鍵を使用すると、外部システムに依存するため可用性に影響する可能性があります。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。