このページでは、Cloud Key Management Service(Cloud KMS)が提供する Google Workspace の暗号鍵サービスである Cloud HSM for Google Workspace(CHGWS)をオンボーディングする方法について説明します。Cloud HSM for Google Workspace は、Google Workspace のプライバシー管理を強化し、DISA IL5 などの規制基準の達成とデータ セキュリティの強化に役立ちます。Cloud HSM は、標準に準拠した高可用性のフルマネージド鍵管理サービスです。クラウド規模で運用され、FIPS 140-2 レベル 3 準拠の HSM(ハードウェア セキュリティ モジュール)に保存されたハードウェア バックアップ鍵を使用します。
始める前に
Google Workspace 向け Cloud HSM をオンボーディングする前に、次の前提条件を満たしてください。
- Google Workspace を設定します。
- Google Workspace で Google Workspace クライアントサイド暗号化(CSE)を有効にします。
- Google Workspace CSE で ID プロバイダ(IdP)を構成します。IdP のクライアント ID をメモします。Google Identity Platform を使用している場合は、 Google Cloud プロジェクトでクライアント ID を確認します。
- 省略可: ウェブ以外のプラットフォーム アプリケーション(モバイルやデスクトップなど)で CSE で暗号化されたコンテンツへのアクセスを許可する場合は、Google Workspace 管理コンソールの IdP 設定で、それらのプラットフォームのクライアント ID を追加します。この IdP のすべてのクライアント ID をメモします。Google Identity Platform を使用している場合は、 Google Cloud プロジェクトでこれらのクライアント ID を確認します。他の ID プロバイダの場合は、これらのクライアント ID を個別に作成します。
Google Workspace のオンボーディングをリクエストする
Cloud HSM for Google Workspace にオンボーディングするには、オンボーディング リクエストを送信します。次の情報を提供します。
Google Workspace ID: Google Workspace ID。お客様 ID を確認するの手順に沿って、Google Workspace ID を確認します。
Google Workspace 管理者のメールアドレス: 管理者のメールアドレスをカンマ区切りのリストで指定します。
プライマリ ID プロバイダ(IdP)の詳細:
- IdP JSON Web Key Set(JWKS)URL: Google Identity Platform の場合は、
https://www.googleapis.com/oauth2/v3/certsを使用します。 - JSON Web Token(JWT)トークン発行者: Google Identity Platform の場合は、
https://accounts.google.comを使用します。 - JWT 対象: ウェブ アプリケーションの IdP のクライアント ID。
- 追加の JWT オーディエンス: 省略可。構成されている場合は、ウェブ以外のプラットフォーム アプリケーションのクライアント ID を提供します。Google Identity Platform の場合は、CSE で Google ID を使用する場合に記載されているクライアント ID を使用します。
- IdP JSON Web Key Set(JWKS)URL: Google Identity Platform の場合は、
ゲスト IdP の詳細: 省略可。ゲスト IdP を使用している場合は、このセクションを完了します。
- ゲスト IdP JWKS URL: ゲスト IdP の JWKS URL。
- ゲスト JWT トークン発行元: ゲスト IdP の JWT トークン発行元。
- ゲスト JWT の対象: Google Meet 以外のウェブ アプリケーションのゲスト IdP のクライアント ID。
- ゲストの追加 JWT オーディエンス: 省略可。Google Meet ウェブ クライアント ID またはウェブ以外のプラットフォーム アプリケーションのクライアント ID を構成する場合は、それぞれのクライアント ID を指定します。Google Identity Platform の場合は、CSE で Google ID を使用する場合に記載されているクライアント ID を使用します。
エンドポイントの場所:
us-central1。予想されるユーザー数: Google Workspace インスタンスの予想されるユーザー数を入力します。
IdP JWKS URL に一般公開されていることを確認します。IdP 管理者に JWT トークン発行者と JWT オーディエンスの値を確認します。
CHGWS チームから 24 ~ 48 時間以内に、Google Workspace の設定ステータスが返信されます。オンボーディングが完了したら、Cloud KMS 用の Google Cloud プロジェクトの設定に進みます。
Cloud KMS 用の Google Cloud プロジェクトを設定する
Cloud HSM for Google Workspace エンドポイントは、暗号オペレーションに Cloud KMS 鍵を使用します。Cloud KMS 鍵をホストする新しい Google Cloud プロジェクトを設定します。
Google Cloud プロジェクトを作成します。これが鍵プロジェクトです。プロジェクト ID とプロジェクト番号をメモしておきます。これらは設定を完了するために必要です。
Google Cloud 鍵プロジェクトで Cloud KMS API を有効にします。
Google Cloud コンソールで、ターミナル Cloud Shell をアクティブにするをクリックします。
プロジェクト ID を Cloud Shell プロンプトのプロジェクト ID と比較して、正しいプロジェクトにいることを確認します。
Cloud Shell を使用して、Cloud HSM for Google Workspace サービス アカウントを作成します。
gcloud beta services identity create --service=cloudkmskacls-pa.googleapis.comこのコマンドで作成されたサービス ID をメモします。次のステップでサービス ID 名が必要になります。
作成したサービス アカウントに CHGWS キー サービス エージェントのロールを付与します。
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER>@gcp-sa-cloudkmskacls.iam.gserviceaccount.com \ --role=roles/cloudkmskacls.serviceAgent次のように置き換えます。
PROJECT_ID: 鍵プロジェクトのプロジェクト ID。PROJECT_NUMBER: 鍵プロジェクトのプロジェクト番号。
CHGWS サービス エンドポイントを管理する
以降のセクションでは、CHGWS エンドポイントの設定と管理の方法について説明します。
Cloud KMS 鍵を設定する
CHGWS 鍵サービス エンドポイントの Cloud KMS リソースを設定します。
us-central1リージョンにキーリングを作成します。gcloud kms keyrings create KEY_RING --location us-central1KEY_RINGは、CHGWS キーリングに使用する名前に置き換えます(CHGWS_KEY_RINGなど)。Cloud HSM 鍵を作成します。
gcloud kms keys create KEY_NAME \ --protection-level "hsm" \ --keyring KEY_RING \ --location us-central1 \ --purpose "encryption" \ --rotation-period ROTATION_PERIOD \ --next-rotation-time NEXT_ROTATION_TIME次のように置き換えます。
KEY_NAME: 鍵に使用する名前(例:CHGWS_KEY_RING)。KEY_RING: キーリングの名前(例:CHGWS_KEY)。ROTATION_PERIOD: 鍵をローテーションする頻度(例:7d)。NEXT_ROTATION_TIME: 次の鍵のローテーションが発生する日時(例:2024-03-20T01:00:00)。
リクエスト エンドポイントの作成
エンドポイントの作成をリクエストするには、エンドポイントの作成リクエストを送信します。次の情報を提供します。
- ワークスペース ID:
<var>GOOGLE_WORKSPACE_ID</var> - Google Cloud プロジェクト ID:
PROJECT_ID - Google Cloud プロジェクト番号:
PROJECT_NUMBER - Cloud KMS 鍵リング名:
KEY_RING - Cloud KMS キーリングのロケーション:
us-central1 - Cloud KMS 鍵名:
KEY_NAME - CHGWS ベース URL: 省略可。鍵の移行を有効にする URL のリスト。この Google Workspace で CHGWS を初めて設定する場合は、このフィールドを空白のままにします。
CHGWS チームは、エンドポイントが使用可能になってから 24 ~ 48 時間以内に、CHGWS エンドポイント URL を返信します。
Google Workspace CSE で CHGWS エンドポイントを構成する
エンドポイント CHGWS の作成時に生成された CHGWS URL を使用するように Google Workspace CSE を構成します。クライアントサイド暗号化で使用する鍵サービスを追加、管理するの手順に沿って操作します。
エンドポイントを移行する
CHGWS は、鍵サービスを CHGWS に移行したり、CHGWS から移行したりする柔軟性を提供します。CHGWS の移行を開始するには、移行リクエストを送信します。リクエストには、次の情報を含めます。
- Endpoint ID: CHGWS のエンドポイント ID。
- CHGWS ベース URL: CHGWS キーの移行を有効にする URL のリスト。
- Cloud HSM for Google Workspace に移行する場合は、移行元の各 CHGWS エンドポイントのベース URL を指定します。
- Cloud HSM for Google Workspace から移行する場合は、移行先の CHGWS エンドポイントのベース URL を指定します。
2 つの異なる Cloud HSM for Google Workspace エンドポイント間で移行する場合は、2 つのリクエストを個別に送信します。1 つは以前のエンドポイントから、もう 1 つは新しいエンドポイントに送信します。
CHGWS チームが 24 ~ 48 時間以内に、エンドポイントの移行準備が整ったことをお知らせします。
エンドポイントを削除または無効にする
Cloud HSM for Google Workspace エンドポイントでの削除または無効化オペレーションは直接サポートされていません。ただし、すべてのバックアップ Cloud KMS 鍵バージョンを無効にすることで、Cloud HSM for Google Workspace エンドポイントを無効にできます。
エンドポイントをバックアップする Cloud KMS 鍵バージョンごとに、次のコマンドを実行します。
gcloud kms keys versions disable KEY_VERSION --keyring \ KEY_RING --location us-central1 --key KEY_NAME次のように置き換えます。
KEY_VERSION: 無効にするキーのバージョン(例:1)。KEY_RING: キーリングの名前(例:CHGWS_KEY_RING)。KEY_NAME: 鍵の名前(例:CHGWS_KEY)。
エンドポイントを有効にする
基盤となる Cloud KMS 鍵のすべての鍵バージョンを無効にして CHGWS エンドポイントを無効にした場合は、CHGWS エンドポイントを再度有効にできます。エンドポイントを再度有効にするには、次の gcloud CLI コマンドを使用して、バックエンドの Cloud KMS 鍵のアクティブなバージョンをすべて有効にします。
エンドポイントをバックアップする Cloud KMS 鍵バージョンごとに、次のコマンドを実行します。
gcloud kms keys versions enable KEY_VERSION \ --keyring KEY_RING --location us-central1 --key KEY_NAME次のように置き換えます。
KEY_VERSION: 無効にするキーのバージョン(例:1)。KEY_RING: キーリングの名前(例:CHGWS_KEY_RING)。KEY_NAME: 鍵の名前(例:CHGWS_KEY)。
次のステップ
- Cloud Key Management Service の詳細を確認する。
- クライアントサイド暗号化で使用する鍵サービスを追加、管理する方法を確認する。