このページは Cloud Translation API によって翻訳されました。

Cloud Key Management Service の概要

Cloud Key Management Service（Cloud KMS）を使用すると、互換性のある Google Cloud サービスと独自のアプリケーションで使用する暗号鍵を作成し、管理できます。Cloud KMS を使用すると、次のことができます。

ソフトウェアまたはハードウェアの鍵を生成するか、既存の鍵を Cloud KMS にインポートします。または、互換性のある外部鍵管理（EKM）システムで外部鍵をリンクします。
Cloud HSM 鍵を生成し、Cloud HSM for Google Workspace で使用して、Google Workspace でクライアントサイド暗号化（CSE）を有効にします。
CMEK 統合により、 Google Cloudプロダクトで顧客管理の暗号鍵（CMEK）を使用します。CMEK 統合では、Cloud KMS 鍵を使用してデータ暗号鍵（DEK）を暗号化または「ラップ」します。DEK を鍵暗号鍵（KEK）でラップすることは、エンベロープ暗号化と呼ばれます。
Cloud KMS Autokey を使用して、プロビジョニングと割り当てを自動化します。Autokey を使用する場合、キーリング、鍵、サービスアカウントを事前にプロビジョニングする必要はありません。これらは、リソースの作成中にオンデマンドで生成されます。
暗号化と復号のオペレーションに Cloud KMS 鍵を使用します。たとえば、Cloud KMS API またはクライアントライブラリを使用して、クライアントサイド暗号化に Cloud KMS 鍵を使用できます。
Cloud KMS 鍵を使用して、デジタル署名またはメッセージ認証コード（MAC）署名を作成または検証します。
Cloud KMS 鍵を使用して、鍵カプセル化メカ��ズムを使用して共有シークレットを確立します。

ニーズに合った暗号化を選択する:

次の表を使用して、各ユースケースのニーズを満たす暗号化の種類を特定できます。ニーズに最適なソリューションは、複数の暗号化方法の組み合わせである場合があります。たとえば、最も機密性の低いデータにはソフトウェア鍵を使用し、最も機密性の高いデータにはハードウェア鍵または外部鍵を使用することが考えられます。このセクションで説明する暗号化オプションの詳細については、このページの Google Cloudでのデータ保護をご覧ください。Cloud KMS、Cloud HSM、Cloud EKM の鍵を使用する場合に適用されるサービスレベル契約（SLA）の詳細については、サービスレベル契約をご覧ください。

暗号化のタイプ	費用	互換性のあるサービス	機能
Google-owned and Google-managed encryption keys （Google Cloud デフォルトの暗号化）	含まれる	顧客データを保存するすべての Google Cloud サービス	設定は必要ありません。 Google Cloud サービスに保存された顧客データを自動的に暗号化します。ほとんどのサービスは鍵を自動的にローテーションします。 AES-256 を使用して暗号化をサポートします。 FIPS 140-2 レベル 1 検証済み。
顧客管理の暗号鍵 - ソフトウェア（Cloud KMS 鍵）	鍵バージョンあたり $0.06	40 種類以上のサービス	鍵の自動ローテーションスケジュール、IAM ロールと権限を制御します。鍵バージョンの有効化、無効化、破棄を行います。暗号化と復号に対して対称鍵と非対称鍵をサポートします。対称鍵を自動的にローテーションします。複数の一般的なアルゴリズムをサポートします。 FIPS 140-2 レベル 1 検証済み。鍵はお客様に固有です。
顧客管理の暗号鍵 - ハードウェア（Cloud HSM 鍵）	鍵バージョンあたり月額 $1.00～$2.50	40 種類以上のサービス	必要に応じて、Cloud KMS Autokey で管理されます。鍵の自動ローテーションスケジュール、IAM ロールと権限を制御します。鍵バージョンの有効化、無効化、破棄を行います。暗号化と復号に対して対称鍵と非対称鍵をサポートします。対称鍵を自動的にローテーションします。複数の一般的なアルゴリズムをサポートします。 FIPS 140-2 レベル 3 検証済み。鍵はお客様に固有です。
顧客管理の暗号鍵 - 外部（Cloud EKM 鍵）	鍵バージョンあたり月額 $3.00	30 種類以上のサービス	IAM のロールと権限を制御します。鍵バージョンの有効化、無効化、破棄をします。鍵が Google に送信されることはありません。鍵マテリアルは、互換性のある外部鍵管理（EKM）プロバイダに存在します。互換性のある Google Cloud サービスは、インターネットまたは Virtual Private Cloud（VPC）上で EKM プロバイダに接続します。暗号化と復号に対して対称鍵をサポートします。 Cloud EKM と EKM プロバイダと連携して鍵を手動でローテーションします。 EKM に応じて、FIPS 140-2 レベル 2 または FIPS 140-2 レベル 3 について検証済みです。鍵はお客様に固有です。
Cloud KMS 鍵を使用したクライアントサイド暗号化	アクティブな鍵バージョンの費用は、鍵の保護レベルによって��ま��。	アプリケーションでクライアントライブラリを使用する	鍵の自動ローテーションスケジュール、IAM ロールと権限を制御します。鍵バージョンの有効化、無効化、破棄を行います。暗号化、復号、署名、署名検証に対して対称鍵と非対称鍵をサポートします。機能はキーの保護レベルによって異なります。
Google Workspace 向け Cloud HSM	インスタンスごとの定額月額料金に、アクティブな鍵バージョンと暗号オペレーションの費用が加算されます。	Google Workspace でクライアントサイド暗号化に Cloud HSM 鍵を使用する	鍵の自動ローテーションスケジュール、IAM ロールと権限を制御します。鍵バージョンの有効化、無効化、破棄を行います。暗号化と復号に対称鍵を使用します。
顧客指定の暗号鍵	Compute Engine または Cloud Storage に関連する費用が増加する場合がある	Compute Engine Cloud Storage	必要に応じて鍵マテリアルを指定します。鍵マテリアルはメモリ内に存在します。Google がお客様の鍵をサーバーに永続的に保存することはありません。
Confidential Computing	Confidential VMs ごとの追加費用。ログ使用量と関連費用が増加する可能性があります	Compute Engine GKE Dataproc	機密データやワークロードを処理する VM に対して、使用中データの暗号化を実施します。 Google は鍵にアクセスできません。

Google Cloudでのデータの保護

Google-owned and Google-managed encryption keys （Google Cloud のデフォルトの暗号化）

デフォルトでは、 Google Cloud の保存データは、 Google Cloudの内部鍵管理サービスである Keystore の鍵によって保護されます。キーストアの鍵は Google Cloudによって自動的に管理されるため、ユーザーによる構成は不要です。ほとんどのサービスでは、鍵が自動的にローテーションされます。キーストアは、主キーのバージョンと、限られた数の古い鍵バージョンをサポートしています。プライマリの鍵バージョンは、新しいデータ暗号鍵の暗号化に使用されます。古いバージョンの鍵は既存のデータ暗号鍵の復号に依然として使用できます。これらの鍵の表示や管理、鍵の使用状況ログの確認はできません。複数のお客様のデータが同じ鍵暗号鍵を使用することがあります。

このデフォルトの暗号化では、FIPS 140-2 レベル 1 に準拠していることが検証された暗号モジュールが使用されます。

顧客管理の暗号鍵（CMEK）

CMEK 統合サービスでリソースの保護に使用される Cloud KMS 鍵は、顧客管理の暗号鍵（CMEK）です。鍵の作成と割り当てのタスクを Cloud KMS Autokey に委任しながら、CMEK を所有、制御できます。CMEK のプロビジョニングの自動化の詳細については、Autokey を使用した Cloud Key Management Service をご覧ください。

互換性のあるサービス�� Cloud KMS 鍵を使用��る��、次の目標を達成できます。

暗号鍵を所有する。
ロケーション、保護レベル、作成、アクセス制御、ローテーション、使用、破棄の選択など、暗号鍵を制御、管理する。
オフボーディングが発生した場合や、セキュリティイベントを修復（クリプトシュレッディング）する場合に、鍵で保護されたデータを選択して削除する。
データの周囲に暗号境界を確立する専用の単一テナント鍵を作成する。
暗号鍵への管理とデータアクセスをログに記録する。
これらの目標のいずれかを必要とする現在または将来の規制に対応できます。

CMEK 統合サービスで Cloud KMS 鍵を使用する場合、組織のポリシーを使用して、ポリシーの指定に従って CMEK が使用されるようにできます。たとえば、互換性のある Google Cloud リソースで Cloud KMS 鍵が暗号化に使用されるように、組織のポリシーを設定できます。組織のポリシーでは、鍵リソースを配置する必要があるプロジェクトを指定することもできます。

提供される機能と保護レベルは、鍵の保護レベルによって異なります。

ソフトウェア鍵 - Cloud KMS でソフトウェア鍵を生成し、すべての Google Cloud ロケーションで使用できます。自動ローテーションで対称鍵を作成できます。または、手動ローテーションで非対称鍵を作成することもできます。顧客管理のソフトウェア鍵は、FIPS 140-2 レベル 1 検証済みのソフトウェア暗号モジュールを使用します。また、ローテーション期間、Identity and Access Management（IAM）のロールと権限、鍵を管理する組織のポリシーも制御できます。ソフトウェアキーは、多くの互換性のある Google Cloudリソースで使用できます。
インポートされたソフトウェア鍵 - Cloud KMS で使用するために他の場所に作成したソフトウェア鍵をインポートできます。新しい鍵バージョンをインポートして、インポートした鍵を手動でローテーションできます。IAM ロールと権限、組織のポリシーを使用して、インポートした鍵の使用を管理できます。
ハードウェア鍵と Cloud HSM - FIPS 140-2 レベル 3 ハードウェアセキュリティモジュール（HSM）のクラスタでハードウェア鍵を生成できます。ユーザーは、ローテーション期間、IAM のロールと権限、鍵を管理する組織のポリシーを制御できます。Cloud HSM を使用して HSM 鍵を作成する場合、 Google Cloudによって HSM クラスタが管理されるため、お客様がする必要はありません。HSM 鍵は、ソフトウェア鍵をサポートするサービスと同じ、多くの互換性のある Google Cloudリソースで使用できます。最高レベルのセキュリティコンプライアンスを実現するには、ハードウェア鍵を使用します。
外部鍵と Cloud EKM - 外部鍵マネージャー（EKM）にある鍵を使用できます。Cloud EKM を使用すると、サポートされている鍵マネージャーに保持されている鍵を使用して、Google Cloud リソースを保護できます。インターネット上または Virtual Private Cloud（VPC）上で EKM ��接続できます。 Cloud Google Cloud KMS 鍵をサポートする一部のサービスは、Cloud EKM 鍵をサポートしていません。

どの Cloud KMS ロケーションがどの保護レベルをサポートしているかについては、Cloud KMS のロケーションをご覧ください。

Cloud KMS キー

Cloud KMS クライアントライブラリまたは Cloud KMS API を使用して、カスタムアプリケーションで Cloud KMS 鍵を使用できます。クライアントライブラリと API を使用すると、データの暗号化と復号、データの署名、署名の検証を行うことができます。

Cloud HSM 鍵

Cloud HSM for Google Workspace で Cloud HSM 鍵を使用して、Google Workspace のクライアントサイド暗号化（CSE）に使用される鍵を管理できます。Google Workspace 向け Cloud HSM にオンボーディングできます。

顧客指定の暗号鍵（CSEK）

Cloud Storage と Compute Engine は、顧客指定の暗号鍵（CSEK）を使用できます。顧客指定の暗号鍵を使用する場合は、鍵マテリアルを保存し、必要に応じて Cloud Storage または Compute Engine に提供します。 Google Cloud はいかなる方法でも CSEK を保存することはありません。

Confidential Computing

Compute Engine、GKE、Dataproc では、Confidential Computing プラットフォームを使用して使用中のデータを暗号化できます。Confidential Computing により、データは処理中も暗号化された状態に保たれ、プライバシーが確保されます。