このページでは、顧客管理の暗号鍵(CMEK)を使用して Google Cloud NetApp Volumes を管理する方法について説明します。
CMEK について
NetApp Volumes は、常にボリューム固有の鍵を使用してデータを暗号化します。NetApp Volumes は常に保存データを暗号化します。
CMEK を使用すると、Cloud Key Management Service は保存されたボリューム鍵をラップします。この機能を使用すると、使用する暗号鍵をより細かく制御し、データを保存するシステムや場所とは異なるシステムや場所に鍵を保存することでセキュリティを強化できます。NetApp Volumes は、ハードウェア セキュリティ モジュールなどの Cloud Key Management Service 機能と、生成、使用、ローテーション、破棄の鍵管理ライフサイクル全体をサポートしています。
NetApp Volumes は、リージョンごとに 1 つの CMEK ポリシーをサポートします。CMEK ポリシーはストレージ プールに接続され、そのプールで作成されたすべてのボリュームで使用されます。リージョンには、CMEK ポリシーのあるストレージ プールとないストレージ プールを混在させることができます。特定のリージョンに CMEK を使用しないプールがある場合は、リージョンの CMEK ポリシーの移行アクションを使用して、CMEK に変換できます。
CMEK の使用は任意です。使用する場合、CMEK ポリシーはリージョン固有です。リージョンごとに構成できるポリシーは 1 つだけです。
考慮事項
以降のセクションでは、考慮すべき CMEK の制限事項について説明します。
鍵管理
CMEK を使用する場合、鍵とデータについてはお客様が単独で責任を負うことになります。
Cloud KMS の構成
CMEK は暗号化と復号に対称鍵を使用します。プロジェクトのリージョン内のすべてのボリュームが削除されると、Cloud KMS 構成は Ready 作成済みの状態に戻ります。この値は、そのリージョンで次のボリュームを作成するときに再度使用されます。
リージョン キーリング
NetApp Volumes はリージョン KMS 鍵リングのみをサポートしており、CMEK ポリシーと同じリージョンに存在する必要があります。
サービスレベル
CMEK は、Flex、Standard、Premium、Extreme のサービスレベルのストレージ プールをサポートしています。
VPC Service Controls
VPC Service Controls を使用する場合は、NetApp Volumes の VPC Service Controls の制限事項を考慮してください。
CMEK 組織のポリシー
NetApp Volumes の CMEK 組織のポリシーを使用すると、組織はデータ暗号鍵を制御し、CMEK に使用できる鍵を制限できます。これは、新しいストレージ プールで保存データの暗号化に CMEK の使用を強制し、組織が Cloud KMS を使用して暗号鍵を管理できるようにすることで実現されます。組織のポリシーはストレージ プールの作成時に適用され、既存のストレージ プールには影響しません。
組織のポリシーを使用すると、管理者はすべてのプロジェクトとリソースに一貫した制約を適用して適用できます。これは、複数のプロジェクトとリソースを管理する組織が標準化されたポリシーを適用するうえで重要です。
CMEK に適用できる組織のポリシーの制約には、次の 2 種類があります。
CMEK 以外のサービスを制限する: 組織、プロジェクト、フォルダ内のどのサービスを CMEK なしで構成できるかを指定できます。サービスを拒否リストに追加するか、許可リストから除外すると、そのサービスのリソースには CMEK が必要になります。デフォルトでは、この制約により CMEK 以外のリソースの作成が許可されます。
CMEK CryptoKey プロジェクトを制限する: 組織、プロジェクト、フォルダ内のリソースを構成するときに、CMEK 用の KMS 鍵を提供できるプロジェクトを定義できます。この制約が設定されている場合、指定されたプロジェクトの KMS 鍵のみを CMEK で保護されたリソースに使用できます。制約が設定されていない場合は、任意のプロジェクトの CryptoKey を使用できます。
組織のポリシーを適用する方法の詳細については、CMEK の組織のポリシーを適用するをご覧ください。
CMEK オプション
NetApp Volumes は CMEK をサポートしています。CMEK は、ソフトウェア鍵、HSM クラスタ内のハードウェア鍵、または Cloud External Key Manager(Cloud EKM)に保存されている外部鍵として保存できます。
詳細については、Cloud Key Management Service をご覧ください。
主なエラーの運用上の影響
CMEK ポリシーで使用されている Cloud KMS 鍵が無効になっている場合や、外部鍵へのアクセスが失われた場合、NetApp Volumes リソースとオペレーションに影響する可能性があります。
外部鍵はサードパーティによって管理され、 Google Cloud は鍵の可用性について責任を負いません。
外部鍵にアクセスできないことが External Key Manager(EKM)から Cloud Key Management Service に通知されると、その鍵を使用しているボリュームがオフラインになり、読み取りと書き込みのオペレーションが実行できなくなります。Cloud KMS 鍵が無効になっている場合も同じ結果になります。
EKM にアクセスできない場合や、複製元のリージョンまたは複製先のリージョンで Cloud KMS 鍵が無効になっている場合に、次のいずれかのオペレーションが試行されると、鍵の現在の状態に関する詳細を含むエラーが返されます。