このページは Cloud Translation API によって翻訳されました。

TSI が管理する鍵オペレーション
コレクションでコンテンツを整理必要に応じて、コンテンツの保存と分類を行います。

T-Systems Sovereign Cloud のお客様は、別のワークフローを使用して Cloud External Key Manager（Cloud EKM）鍵を管理します。独自の外部鍵マネージャーを設定、管理する代わりに、 Google Cloud T-Systems International（TSI）がこれらの手順を処理します。つまり、TSI はリクエストに応じて鍵と鍵バージョンを管理します。

このトピックでは、TSI が管理する Cloud Key Management Service プロジェクト（一般に鍵管理プロジェクト）で一般的な鍵オペレーションのリクエストを送信する方法について説明します。

始める前に

鍵操作リクエストを行う前に、少なくとも 1 つの鍵を含むキーリングが必要です。新しい鍵リングと鍵が必要な場合は、TSI 管理の Cloud KMS を使ってみるの手順を使用します。

鍵のリソース名を取得する

鍵オペレーションリクエストでは、変更する鍵または鍵バージョンのリソース名を指定する必要があります。

バージョンを作成または鍵をローテーションするには、鍵リソース名を指定する必要があります。
鍵バージョンを更新または破棄するには、鍵バージョンのリソース名を指定する必要があります。

Issue Tracker のリクエスト

Issue Tracker は、Google とそのパートナーが専門的なプロジェクトのリクエストを追跡するために使用するツールです。TSI が管理する Cloud Key Management Service プロジェクトの場合は、Issue Tracker を使用して TSI にリクエストを送信します。TSI は、Cloud Key Management Service プロジェクトでリクエストを処理し、外部鍵マネージャーで鍵を管理します。

組織の Issue Tracker へのリンクは、ウェルカムメールに記載されています。

一般的なキー操作

鍵バージョンを作成する

Issue Tracker を使用して、新しい鍵バージョンのリクエストを送信します。新しい鍵バージョンが最初の鍵バージョンである場合、または他の鍵バージョンがない場合、新しい鍵バージョンがプライマリバージョンとして設定されます。

問題トラッカーで [鍵のバージョンを作成] を選択し、鍵のリソース名を指定します。[作成] をクリックしてリクエストを送信します。

鍵をローテーションする

問題トラッカーで、チケット本文に「Rotate key」と記述し、鍵のリソース名を指定します。[作成] をクリックしてリクエストを送信します。

鍵をローテーションすると、TSI は EKM で新しい鍵マテリアルを生成し、Cloud Key Management Service プロジェクトに新しい鍵バージョンを作成し、新しい鍵バージョンをプライマリバージョンとして設定します。

鍵バージョンをローテーションすると、その鍵で保護されている新しく作成されたすべてのデータが新しい鍵マテリアルで暗号化されます。以前の鍵マテリアルで保護されたデータは再暗号化されません。そのため、以前の鍵マテリアルは引き続き使用可能である必要があります。

鍵バージョンの無効化

有効な状態の鍵バージョンを無効にするには、Google Cloud コンソール、Google Cloud CLI、または Cloud KMS クライアントライブラリを使用します。鍵バージョンを無効にすると、その状態は [無効] に変わります。詳細については、Cloud KMS ドキュメントの鍵バージョンの有効化と無効化をご覧ください。

鍵バージョンを破棄する

鍵バージョンを破棄するには、Cloud KMS で鍵バージョンの破棄をスケジュールします。これにより、Cloud KMS 鍵が破棄され、その鍵で暗号化されたデータにアクセスできなくなります。

TSI の EKM で鍵を破棄する場合:

鍵バージョンの破棄をスケジュールする。
Issue Tracker で、チケット本文の [Destroy key version] を選択し、破棄する鍵バージョンのリソース名を指定します。
[作成] をクリックしてリクエストを送信します。

TSI は、続行する前に鍵の破棄リクエストを確認します。破棄が確認されると、TSI から鍵が破棄される日時が通知されます。破棄前に鍵を復元できます。

鍵が破棄されるまでの期間に鍵バージョンを復元すると、Cloud KMS 鍵と TSI の EKM の鍵の両方が残ります。

破棄がスケジュールどおりに続行されると、まず Cloud KMS 鍵が削除され、次に TSI の EKM の鍵が削除されます。

応答時間

問題トラッカーは、鍵管理の日常的なオペレーションにのみ使用してください。Issue Tracker リクエストを送信すると、1 営業日以内にパートナーから返信が届きます。