1. Home
2. Cloud
3. Confluent Cloud クラスター
4. セルフマネージド型キーを使用したクラスターの暗号化

重要

このページの日本語コンテンツは古くなっている可能性があります。最新の英語版コンテンツをご覧になるには、こちらをクリックしてください。

セルフマネージド型キーを使用した Confluent Cloud クラスターの暗号化 – アマゾンウェブサービス

アマゾンウェブサービス 上に Confluent Cloud 専用クラスター を作成する場合、オプションとして、セルフマネージド型暗号化キーを使用して保存データを保護することができます。この場合、適切なエンティティまたはユーザーのみが暗号化を解除できます。セルフマネージド型キーは、Bring Your Own Key（BYOK）暗号化とも呼ばれ、プライバシーとデータ整合性の向上に役立ちます。これは、行政、医療、金融、その他さまざまな業界で求められることが多くなっています。

AWS Key Management Service（KMS） を使用して、暗号化キーの作成と管理を行い、アマゾンウェブサービス 上の Confluent Cloud 専用クラスターに保存されている保存データを保護します。アマゾンウェブサービス 上の Confluent Cloud 内のクラスターにセルフマネージド型暗号化キーを使用する場合、以下のような操作と制限があります。

• クラスターの作成時にセルフマネージド型暗号化キーを使用する専用クラスターを作成します。クラスターをプロビジョニングした後に、暗号化モードを自動（デフォルト）とセルフマネージド型の間で切り替えることはできません。
• 暗号化キーの生成、使用、ローテーション、破棄には、AWS Key Management Service（KMS）を使用します。
• カスタマーマスターキー（CMK） がサポートされています。
• 使用する暗号化キーのゾーンは、クラスターで指定されているゾーンと一致している必要があります。
• 対称キーのみサポートされます。
• キーマテリアルのインポートはサポートされていません。
• 暗号化キーを取り消すと、保存されているデータにアクセスできなくなります。
• AWS KMS を使用したキーの自動ローテーションを有効にします。手動でのキーローテーションはサポートされていません。

セルフマネージド型暗号化を使用する専用クラスターの作成

警告

マスターキーを誤って削除すると、暗号化されたデータにアクセスできなくなります。Confluent も AWS もデータへのアクセスを回復することはできません。

セルフマネージド型暗号化キーを使用する、アマゾンウェブサービス 上の暗号化された Confluent Cloud 専用クラスターを作成するには、以下の手順に従います。

1. 対象の環境の Clusters ページに移動し、その環境で最初のクラスターを作成する場合は Create cluster を、他のクラスターが存在する場合は Add cluster をクリックします。

2. Create cluster の下の 1. Select cluster type で、Dedicated を選択し、Begin Configuration をクリックします。

3. Create cluster の下の 2. Regions/zones で、クラウドサービスプロバイダーとして AWS を選択し、Region と Availability を選択して、Continue をクリックします。

4. Create cluster の下の 3. Networking で、ネットワーク の種類を選択し、Continue をクリックします。

5. Create cluster の下の 4 - Security で、AWS Key Management Service を使用して独自の暗号化キーを管理するため、Self-managed を選択します。追加の手順が表示されます。

   ステップ 1: 暗号化キーの Amazon リソース名（ARN） を入力します。ARN を見つけるには、AWS KMS コンソールにログインし、ARN を作成するか、ARN を検索します。

   ステップ 2: 提供されたコードブロックをそのまま（編集も変更もしないで）コピーして貼り付け、AWS の ARN のキーポリシーに必要な権限を追加してから Continue をクリックします。

   このコードブロックは AWS のキーポリシーに Confluent Cloud クラスターにアクセスするための認可を与え、KMS への Confluent のアクセスを認可します。詳細については、AWS KMS のドキュメント を参照してください。

   注釈

   クラスター作成プロセスを完了すると、そのクラスターとキーのペアリングがロックされます。これをクラスターの存続期間中に変更することはできません。ただし、AWS のアクセス許可で許可されている限り、キーに関連するアクセス許可を変更したり、キーを無効化または削除したりすることはできます。

6. Create cluster の下の 5. Review and launch で、Cluster name にクラスター名を入力し、Launch Cluster をクリックします。

注釈

検証が成功すると、クラスターのプロビジョニングが行われます。暗号化キーが無効であるか、Confluent に対して暗号化キーが認可されていないために、クラスター構成が無効である場合は、そのことを示すエラーメッセージが表示されます。モーダルを閉じると、無効なフィールドが元のフォームで強調表示されます。強調表示されたフィールドに有効な値を再入力してください。

AWS のセルフマネージド型クラスターへの Confluent のアクセスの取り消し

クラスターが正常に動作するには、AWS KMS を使用する Confluent Cloud で使用されるセルフマネージド型暗号化キーに Confluent からアクセスできる必要があります。暗号化キーへのアクセスを取り消したり無効にしたりすると、クラスターのアクセスができなくなり、データアクセスが中断されます。

Confluent による暗号化キーへのアクセスを取り消す、または無効にするには、Confluent サポートに連絡してクラスターの削除を依頼してください。

Confluent CLI を使用した、独自キーを使用するクラスターの暗号化

上記のとおり、プロバイダーとして AWS を使用し、専用クラスタータイプを指定する必要があります。

以下の Confluent CLI の例は、ユーザー管理のキーを使用して暗号化された Confluent Cloud クラスターを作成する方法を示しています。かっこ（<>）で囲まれた内容は、環境に応じてカスタマイズする必要があります。

confluent kafka cluster create sales092020 --cloud "aws" --region "<KMS-region>" --type "dedicated" --cku <CKU-value> --encryption-key "<AWS-ARN-ID>"

Copy and append these permissions to the existing "Statements" array field in the key policy of your ARN to authorize access for Confluent:

{
    "Sid" : "Allow Confluent account (123456789101) to use the key",
    "Effect" : "Allow",
    "Principal" : {
      "AWS" : ["arn:aws:iam::123456789101:root"]
    },
    "Action" : [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ],
    "Resource" : "*"
  }, {
    "Sid" : "Allow Confluent account (123456789101) to attach persistent resources",
    "Effect" : "Allow",
    "Principal" : {
      "AWS" : ["arn:aws:iam::123456789101:root"]
    },
    "Action" : [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ],
    "Resource" : "*"
}

Please confirm you've authorized the key for this account: 123456789101 (y/n):y

--encryption-key オプションを指定すると、AWS KMS ポリシーをアップデートするように求められます。

詳細については、以下を参照してください。

• confluent kafka cluster create
• AWS KMS でのキーポリシーの使用

専用クラスターのセキュリティ設定の表示

AWS 上にプロビジョニングされた専用クラスターのセキュリティ設定を表示できます。つまり、Automatic または Self-managed を使用した場合、あるいはセルフマネージド型の暗号化オプションを使用する前に作成した既存の専用クラスターが AWS 上にある場合は、クラスターのセキュリティ設定を表示できます。クラスターのセキュリティ設定のデータは、情報提供のみを目的としており、使用中のキーを識別するのに役立ちます。

専用 AWS クラスターのセキュリティ設定を表示するには、次のようにします。

1. Confluent Cloud クラスターを選択します。
2. Cluster settings タブをクリックしてから、Security をクリックします。

AWS の専用クラスターの表示の権限を付与されているすべてのユーザーがこのデータを表示できることに注意してください。