CMEK でデータを保護する

デフォルトでは、Cloud Run functions はお客様のコンテンツを保存時に暗号化します。暗号化は Cloud Run 関数が行うため、ユーザー側での操作は必要ありません。このオプションは、Google のデフォルトの暗号化と呼ばれます。

暗号鍵を管理する場合は、Cloud KMS の顧客管理の暗号鍵(CMEK)を、Cloud Run 関数などの CMEK 統合サービスで使用できます。Cloud KMS 鍵を使用すると、保護レベル、ロケーション、ローテーション スケジュール、使用とアクセスの権限、暗号境界を制御できます。Cloud KMS を使用すると、監査ログを表示し、鍵のライフサイクルを管理することもできます。データを保護する対称鍵暗号鍵(KEK)は Google が所有して管理するのではなく、ユーザーが Cloud KMS でこれらの鍵を制御および管理します。

CMEK を使用してリソースを設定した後は、Cloud Run functions リソースへのアクセスは、Google のデフォルトの暗号化を使用する場合と同様です。暗号化オプションの詳細については、顧客管理の暗号鍵(CMEK)をご覧ください。

CMEK を使用する場合、次の種類の Cloud Run functions データが暗号化されます。

  • デプロイ用にアップロードされた関数のソースコード。Google により Cloud Storage に保存され、ビルドプロセスで使用されます。
  • 次のような関数のビルドプロセスの結果。
    • 関数のソースコードからビルドされたコンテナ イメージ。
    • デプロイされている関数の各インスタンス。

関数のビルドプロセス自体は、ビルドごとに一意に生成されるエフェメラル キーで保護されます。詳細については、Cloud Build での CMEK コンプライアンスをご覧ください。また、次の点に注意してください。

  • ファイル システムのパスや変更のタイムスタンプなどのファイル メタデータは暗号化されません。

  • 鍵が無効になっている場合は、コンテナ イメージをデプロイできず、新しいインスタンスを起動できません。

  • Cloud Run functions の CMEK 保護は、Google が管理する Cloud Run functions リソースにのみ適用されます。ユーザーのソースコード リポジトリ、顧客プロジェクトに存在するイベント チャネル、関数で使用されるサービスなど、ユーザーが管理しているデータとリソースはユーザーが保護する必要があります。

Cloud Run functions に CMEK を設定するには、次の操作を行います。

  • 必要なサービス アカウントに鍵へのアクセス権を付与します。

    • すべての関数について、Cloud Run functions、Artifact Registry、Cloud Storage のサービス アカウントに鍵へのアクセス権を付与する必要があります。

    • Cloud Run functions のイベント ドリブン関数の場合、Cloud RunEventarc の CMEK の設定も完了する必要があります。

  • CMEK で保護された Artifact Registry リポジトリを作成して、関数のイメージを保存します。

  • 関数で CMEK を有効にします。

  • 必要に応じて、CMEK の組織のポリシーを有効にして、すべての新しい関数が CMEK に準拠するようにします。

以下では、これらの手順について詳しく説明します。

始める前に

  1. 関数の暗号化に使用する単一リージョンの鍵を作成します。鍵の作成方法については、対称暗号鍵の作成をご覧ください。

  2. CMEK が有効Artifact Registry リポジトリを作成します。関数で CMEK を有効にする場合と同じ鍵を Artifact Registry リポジトリに使用する必要があります。

  3. イベント ドリブン関数の場合は、Google チャネルの CMEK を有効にするで概説されている追加の設定を行います。

サービス アカウントに鍵へのアクセス権を付与する

すべての関数について、次のサービス アカウントに鍵へのアクセス権を付与する必要があります。

  • Cloud Run functions サービス エージェント(service-PROJECT_NUMBER@gcf-admin-robot.iam.gserviceaccount.com

  • Artifact Registry サービス エージェント(service-PROJECT_NUMBER@gcp-sa-artifactregistry.iam.gserviceaccount.com

  • Cloud Storage サービス エージェント(service-PROJECT_NUMBER@gs-project-accounts.iam.gserviceaccount.com

次のサービス アカウントに鍵へのアクセス権を付与する必要があります。

  • Cloud Run サービス エージェント(service-PROJECT_NUMBER@serverless-robot-prod.iam.gserviceaccount.com

  • Eventarc サービス エージェント(service-PROJECT_NUMBER@gcp-sa-eventarc.iam.gserviceaccount.com

これらのサービス アカウントに鍵へのアクセス権を付与するには、各サービス アカウントを鍵のプリンシパルとして追加し、サービス アカウントに Cloud KMS CryptoKey Encrypter/Decrypter ロールを付与します。

Console

  1. Google Cloud コンソールの Cloud Key Management Service ページに移動します。
    Cloud KMS ページに移動

  2. 特定の鍵を含むキーリングの名前をクリックします。

  3. 鍵の名前をクリックすると、鍵の詳細が表示されます。

  4. [権限] タブで、[アクセス権を付与] をクリックします。

  5. [新しいプリンシパル] フィールドに、上記の 3 つのサービス アカウントすべてのメールアドレスを入力して、一度で 3 つのアカウントすべてに権限を割り当てます。

  6. [ロールを選択] メニューで、[Cloud KMS 暗号鍵の暗号化 / 復号] を選択します。

  7. [保存] をクリックします。

gcloud

前述のサービス アカウントごとに、次のコマンドを実行します。

gcloud kms keys add-iam-policy-binding KEY \
--keyring KEY_RING \
--location LOCATION \
--member serviceAccount:SERVICE_AGENT_EMAIL \
--role roles/cloudkms.cryptoKeyEncrypterDecrypter

次のように置き換えます。

  • KEY: 鍵の名前。例: my-key

  • KEY_RING: キーリングの名前。例: my-keyring

  • LOCATION: 鍵のロケーション。例: us-central1

  • SERVICE_AGENT_EMAIL: サービス アカウントのメールアドレス。

関数の CMEK を有効にする

CMEK を有効にして Artifact Registry リポジトリを設定し、Cloud Run functions に鍵へのアクセス権を付与したので、関数で CMEK を有効にする準備が整いました。

関数の CMEK を有効にするには:

コンソール

  1. Google Cloud コンソールで Cloud Run functions のページに移動します。
    Cloud Run functions のページに移動

  2. CMEK を有効にする関数の名前をクリックします。

  3. [編集] をクリックします。

  4. [ランタイム、ビルド...] をクリックして、詳細な構成オプションを開きます。

  5. [セキュリティとイメージのリポジトリ] タブを選択します。

  6. [暗号化] セクションで、[顧客管理の暗号鍵(CMEK)] を選択します。

  7. プルダウンからキーを選択します。

  8. [コンテナの場所] で [お客様が管理する Artifact Registry] を選択します。

  9. [Artifact Registry] プルダウンで、CMEK で保護されたリポジトリを選択します。

  10. [次へ] をクリックします。

  11. [デプロイ] をクリックします。

gcloud

次のコマンドを実行します。

gcloud functions deploy FUNCTION \
[--gen2] \
--kms-key=KEY \
--docker-repository=REPOSITORY \
--source=YOUR_SOURCE_LOCATION
FLAGS...

以下を置き換えます。

  • FUNCTION: CMEK を有効にする関数の名前。例: cmek-function

  • KEY: 鍵の完全修飾名(projects/PROJECT_NAME/locations/LOCATION/keyRings/KEYRING_NAME/cryptoKeys/KEY_NAME の形式)。

  • REPOSITORY: Artifact Registry リポジトリの完全修飾名(projects/PROJECT_NAME/locations/LOCATION/repositories/REPOSITORY の形式)。

  • YOUR_SOURCE_LOCATION: 既存の関数に対して CMEK を有効にする場合は、このパラメータを明示的に指定し、目的のソースコードが再デプロイされていることを確認してください。

  • FLAGS...: 関数のデプロイ(特にデプロイの作成)に必要な追加のフラグ。詳細については、Cloud Run 関数をデプロイするをご覧ください。

関数の CMEK が有効になります。

Cloud Run functions は CMEK 保護に常に鍵のメイン バージョンを使用します。関数の CMEK を有効にするときに使用する特定の鍵バージョンを指定することはできません。

鍵が破棄された場合、無効になった場合、または必要な権限が取り消された場合、その鍵で保護されている関数のアクティブなインスタンスはシャットダウンされません。すでに進行中の関数の実行は継続されますが、Cloud Run functions が鍵にアクセスできない限り、新しい実行は失敗します。

CMEK による保護をテストする

CMEK による保護が機能していることを確認するには、関数で CMEK を有効にするために使用した鍵を無効にし、関数をトリガーします。

  1. 関数の保護に使用される鍵を無効にします

  2. この関数に関連付けられたソースコードの表示を試行します。この試行は失敗するはずです。

  3. CMEK で保護された関数をトリガーします。この試行は失敗するはずです。

  4. CMEK による保護が機能していることを確認したら、鍵を有効にします

これで、関数の CMEK 保護が確認できました。

次のステップ