このページでは、顧客管理の暗号鍵(CMEK)を使用して Google Cloud NetApp ボリュームを管理する方法について説明します。
CMEK について
NetApp Volumes は、常にボリューム固有の鍵でデータを暗号化します。NetApp Volumes は、保存データを常に暗号化します。
CMEK を使用すると、Cloud Key Management Service は保存されているボリューム鍵をラップします。この機能を使用すると、使用する暗号鍵をより細かく制御できます。また、鍵をデータとは異なるシステムまたは場所に保存することで、セキュリティを強化できます。NetApp Volumes は、ハードウェア セキュリティ モジュールなどの Cloud Key Management Service の機能と、生成、使用、ローテーション、破棄の完全な鍵管理ライフサイクルをサポートしています。
NetApp Volumes は、リージョンごとに 1 つの CMEK ポリシーをサポートしています。CMEK ポリシーはストレージ プールに接続され、そのプールで作成されたすべてのボリュームで使用されます。1 つのリージョンに、CMEK ポリシーを使用するストレージ プールと使用しないストレージ プールを混在させることができます。特定のリージョンに CMEK のないプールがある場合は、リージョンの CMEK ポリシーの移行アクションを使用して、それらのプールを CMEK に変換できます。
CMEK の使用は任意です。使用する場合、CMEK ポリシーはリージョン固有です。構成できるポリシーはリージョンごとに 1 つだけです。
考慮事項
以降のセクションでは、CEMK で考慮すべき制限事項について説明します。
鍵管理
CMEK を使用する場合、鍵とデータについてはお客様が単独で責任を負うことになります。
Cloud KMS の構成
CMEK は、暗号化と復号に対称鍵を使用します。プロジェクトのリージョン内のすべてのボリュームが削除されると、Cloud KMS 構成は作成状態の Ready に戻ります。この ID は、そのリージョンで次のボリュームを作成するときに再び使用されます。
リージョン キーリング
NetApp Volumes はリージョン KMS キーリングのみをサポートし、CMEK ポリシーと同じリージョンに存在する必要があります。
サービスレベル
CMEK は、Flex、Standard、Premium、Extreme のサービスレベルのストレージ プールをサポートしています。
VPC Service Controls
VPC Service Controls を使用する場合は、NetApp ボリュームの VPC Service Controls の制限事項を必ず確認してください。