顧客管理の暗号鍵を使用する

Google Cloud では、デフォルトで、Google が管理する暗号鍵を使用して、自動的に保存されているデータを暗号化します。データを保護する鍵について特定のコンプライアンスや規制の要件がある場合は、Dataform リポジトリで顧客管理の暗号鍵（CMEK）を使用できます。

このガイドでは、Dataform に CMEK を使用する方法と、Dataform リポジトリの CMEK 暗号化を有効にする方法について説明します。

CMEK 全般について詳しくは、CMEK のドキュメントをご覧ください。

リポジトリデータの CMEK 暗号化

CMEK 暗号化を Dataform リポジトリに適用すると、そのリポジトリ内の Dataform が管理するすべての顧客データが、リポジトリに設定された CMEK 保護キーを使用して保存時に暗号化されます。このデータには以下が含まれます。

Dataform リポジトリとそのワークスペースの Git リポジトリのコンテンツ
コンパイル済みの SQL クエリとコンパイルエラー
ワークフローアクションの保存された SQL クエリ
実行されたワークフローアクションのエラーの詳細

Dataform は、次のシナリオで CMEK 保護鍵を使用します。

保存されている顧客データの復号を必要とするすべてのオペレーション時。このようなオペレーションとしては次のものがありますが、これに限定されるものではありません。
- ユーザークエリに対するレスポンス（例: compilationResults.query）。
- 以前に作成した暗号化されたリポジトリデータを必要とする Dataform リソースの作成（ワークフロー呼び出しなど）。
- リモートリポジトリを更新する Git オペレーション（Git commit の push など）。
顧客データを保存する必要のあるすべてのオペレーション時。このようなオペレーションとしては次のものがありますが、これに限定されるものではありません。
- ユーザークエリに対するレスポンス（例: compilationResults.create）。
- ワークスペースへの Git 操作（Git commit の pull など）。

Dataform は、Dataform リソースのみに関連付けられた顧客データの暗号化を管理します。Dataform では、Dataform ワークフローの実行によって BigQuery で作成された顧客データの暗号化が管理されることはありません。BigQuery に作成されて保存されているデータを暗号化するには、BigQuery 用に CMEK を構成します。

サポートされているキー

Dataform では、次のタイプの CMEK 鍵がサポートされています。

鍵の可用性は、鍵のタイプとリージョンによって異なります。 CMEK 鍵の地理的な可用性について詳しくは、Cloud KMS のロケーションをご覧ください。

制限事項

Dataform では、次の制限付き CMEK がサポートされます。

リポジトリの作成後に、CMEK 保護鍵をリポジトリに適用することはできません。CMEK 暗号化は、リポジトリの作成時にのみ適用できます。
リポジトリから CMEK 保護鍵を削除することはできません。
リポジトリの CMEK 保護鍵は変更できません。
CMEK の組織のポリシーは使用できません。
Cloud HSM 鍵の使用は可用性によって異なります。複数のロケーションにまたがる鍵の可用性について詳しくは、Cloud KMS のロケーションをご覧ください。

Cloud KMS の割り当てと Dataform

Dataform では Cloud HSM 鍵を使用できます。Dataform で CMEK を使用する場合は、プロジェクトで Cloud KMS 暗号リクエストの割り当てを消費できます。たとえば、CMEK で暗号化された Dataform リポジトリでは、リポジトリのコンテンツが変更されるたびに、これらの割り当てを消費できます。CMEK 鍵を使用する暗号化と復号の処理は、ハードウェア（Cloud HSM）鍵または外部（Cloud EKM）鍵を使用する場合にのみ、Cloud KMS の割り当てに影響します。詳細については、Cloud KMS の割り当てをご覧ください。

鍵を管理する

すべての鍵管理オペレーションに Cloud KMS を使用します。Dataform は、Cloud KMS に伝播されるまで、鍵の変更の検出や操作はできません。鍵の無効化や破棄などのオペレーションでは、その伝播に最大 3 時間かかることがあります。通常、権限の変更ははるかに速く反映されます。

リポジトリが作成されると、Dataform は Cloud KMS を呼び出して、暗号化されたリポジトリデータに対する各オペレーション中に鍵が引き続き有効であることを確認します。

Dataform が Cloud KMS 鍵が無効化または破棄されたことを検出すると、対応するリポジトリに保存されているすべてのデータにアクセスできなくなります。

Dataform による Cloud KMS に対する呼び出しで、以前に無効にした鍵の再有効化が検出されると、Dataform は自動的にアクセスを復元します。

使用できない鍵のステータスの処理方法

Dataform が使用できない場合のようなまれなケースで、Spanner が Cloud KMS から鍵のステータスを取得できないことがあります。

Dataform が Cloud KMS と通信不能となった時点で無効な鍵により Dataform リポジトリが保護されている場合、暗号化されたリポジトリデータにアクセスできなくなります。

暗号化されたリポジトリデータは、Dataform が Cloud KMS に再接続でき、鍵がアクティブであるという応答を Cloud KMS が返すまで、アクセス不能になります。

逆に、Dataform が最初に Cloud KMS と通信不能となった時点で無効な鍵により Dataform リポジトリが保護されている場合、暗号化されたリポジトリデータが Cloud KMS に再接続可能になり鍵を再有効化するまで、暗号化されたリポジトリデータはアクセス不能になります。

ロギング

プロジェクトで Cloud KMS API の監査ロギングを有効にしている場合は、Cloud Logging で Dataform が Cloud KMS に送信するリクエストを監査できます。これらの Cloud KMS ログエントリは、Cloud Logging に表示されます。詳細については、ログを表示をご覧ください。

始める前に

Dataform と Cloud KMS を異なるプロジェクトで実行するか、同じプロジェクトで実行するかを決定します。権限をより細かく制御する場合は、個別のプロジェクトを使用することをおすすめします。Google Cloud プロジェクト ID とプロジェクト番号については、プロジェクトの識別をご覧ください。
Cloud KMS を実行する Google Cloud プロジェクトでは、以下の操作を行います。
1. Cloud Key Management Service API を有効にします。
2. キーリングと鍵の作成の説明に沿って、キーリングと鍵を作成します。キーリングは、Dataform リポジトリのロケーションと一致するロケーションに作成します。
  - リポジトリは、一致するリージョンの鍵を使用する必要があります。たとえば、リージョン asia-northeast3 のリポジトリは、asia-northeast3 にあるキーリングの鍵で保護する必要があります。
  - global リージョンは Dataform では使用できません。
  Dataform と Cloud KMS がサポートされるロケーションの詳細については、クラウドのロケーションをご覧ください。

CMEK を有効にする

Cloud KMS 暗号鍵の暗号化/復号（roles/cloudkms.cryptoKeyEncrypterDecrypter）ロールをデフォルト Dataform サービスアカウントに付与すると、Dataform がユーザーに代わって鍵にアクセスできます。

デフォルトの Dataform サービスアカウント ID は次の形式です。

service-YOUR_PROJECT_NUMBER@gcp-sa-dataform.iam.gserviceaccount.com

デフォルトの Dataform サービスアカウントに暗号鍵の暗号化/復号ロールを付与するには、次の手順を行います。

コンソール

Google Cloud コンソールで [鍵の管理] ページを開きます。
[鍵管理] ページを開く
鍵を含むキーリングの名前をクリックします。
ロールを追加する暗号鍵のチェックボックスをクリックします。[権限] タブが開きます。
[メンバーを追加] をクリックします。
サービスアカウントのメールアドレスを入力します。
- このサービスアカウントがすでにメンバーリストに含まれている場合、サービスアカウントには既存の役割があります。サービスアカウントの現在のロールのプルダウンリストをクリックします。
[ロールを選択] プルダウンリストをクリックし、[Cloud KMS] をクリックして、[Cloud KMS 暗号鍵の暗号化 / 復号] ロールをクリックします。
[保存] をクリックして、サービスアカウントにロールを適用します。

gcloud

ロールの割り当てには、Google Cloud CLI を使用できます。

gcloud kms keys add-iam-policy-binding \
    --project=KMS_PROJECT_ID \
    --member serviceAccount:SERVICE_ACCOUNT \
    --role roles/cloudkms.cryptoKeyEncrypterDecrypter \
    --location=KMS_KEY_LOCATION \
    --keyring=KMS_KEY_RING \
    KMS_KEY

次のように置き換えます。

KMS_PROJECT_ID: Cloud KMS を実行している Google Cloud プロジェクトの ID
SERVICE_ACCOUNT: デフォルトの Dataform サービスアカウントのメールアドレス
KMS_KEY_LOCATION: Cloud KMS 鍵のロケーション名
KMS_KEY_RING: Cloud KMS 鍵のキーリング名
KMS_KEY: Cloud KMS 鍵の名前。

CMEK をリポジトリに適用する

CMEK による保護は、リポジトリの作成時に Dataform リポジトリに適用できます。

CMEK 暗号化を Dataform リポジトリに適用するには、リポジトリの作成時に Cloud KMS 鍵を指定します。手順については、リポジトリを作成するをご覧ください。

リポジトリの作成後に Dataform リポジトリの暗号化メカニズムを変更することはできません。

詳細については、制限事項をご覧ください。

次のステップ

CMEK の詳細については、CMEK の概要をご覧ください。
Cloud KMS の割り当ての詳細については、Cloud KMS の割り当てをご覧ください。
Cloud KMS の料金の詳細については、Cloud KMS の料金をご覧ください。
Dataform リポジトリの詳細については、リポジトリの概要をご覧ください。