Cloud KMSとは
暗号鍵の生成・保管・ローテーション・廃棄を一元管理するクラウド鍵管理サービス。AES-256・RSA・楕円曲線など主要な鍵タイプをサポートし、FIPS 140-2 Level 3 準拠の HSM バックエンド(Cloud HSM)も選択できる。
鍵リングと鍵バージョンの階層でライフサイクルを管理。鍵を直接エクスポートする操作はできず、暗号化・復号操作は KMS API 経由で行う(エンベロープ暗号化パターン)。
顧客管理暗号鍵(CMEK)として BigQuery・Cloud Storage・Compute Engine などのサービスと統合し、Google のデフォルト暗号化から独自の鍵管理へ切り替えられる。
試験での問われ方
CMEK・CSEK(顧客提供暗号鍵)・Google 管理暗号鍵の 3 種類の違いを整理する。CMEK は KMS に鍵を保管して自分で管理、CSEK は鍵をリクエスト時に毎回提供(KMS 不要)、Google 管理は最も手軽だが制御不可。
ACE では鍵ローテーションの自動化設定と、ローテーション後に古い鍵バージョンで暗号化されたデータの再暗号化は自動では行われない(明示的な再暗号化が必要)点が引っかけになる。
このサービスが登場する演習問題(2問)
- 【CDL】ある企業が、Google CloudにおけるデータのKey Management Service(KMS)を活用すること…
- 【ACE】Cloud KMS(Key Management Service)を使ってデータを暗号化しています。最も安全にキーを管理…