重要

このページの日本語コンテンツは古くなっている可能性があります。最新の英語版コンテンツをご覧になるには、こちらをクリックしてください。

セルフマネージド型キーを使用した Confluent Cloud クラスターの暗号化 – Google Cloud

Google Cloud 上に Confluent Cloud 専用クラスター を作成する場合、オプションとして、セルフマネージド型暗号化キーを使用して保存データを保護することができます。この場合、適切なエンティティまたはユーザーのみが暗号化を解除できます。セルフマネージド型キーは、Bring Your Own Key(BYOK)暗号化とも呼ばれ、プライバシーとデータ整合性の向上に役立ちます。これは、行政、医療、金融、その他さまざまな業界で求められることが多くなっています。

Google Cloud Key Management Service(KMS) を使用して、暗号化キーの作成と管理を行い、Google Cloud 上の Confluent Cloud 専用クラスターに保存されている保存データを保護します。Google Cloud 上の Confluent Cloud 内のクラスターにセルフマネージド型暗号化キーを使用する場合、以下のような操作と制限があります。

  • 専用クラスターの作成時にのみセルフマネージド型暗号化キーを有効にできます。クラスターをプロビジョニングした後に、暗号化モードを自動(デフォルト)とセルフマネージド型の間で切り替えることはできません。
  • 暗号化キーの生成、使用、ローテーション、破棄には、Google Cloud Key Management Service(KMS)を使用します。
  • ユーザー管理の暗号化キー(CMEK) がサポートされています。
  • ユーザーの暗号化キーとクラウドクラスターは、同じリージョン内に存在する必要があります。
  • すべてのリージョンで使用できます。
  • 対称キーのみサポートされます。
  • キーマテリアルのインポートはサポートされていません。
  • 暗号化キーを取り消して、保存されているデータへのアクセスを防止できます。
  • Google Cloud KMS コンソールを使用した自動によるキーローテーションを利用できます。手動でのキーローテーションはサポートされていません。

セルフマネージド型暗号化を使用する専用クラスターの作成

警告

マスターキーを誤って削除すると、暗号化されたデータにアクセスできなくなります。Confluent も Google Cloud もデータへのアクセスを回復することはできません。

セルフマネージド型暗号化キーを使用する、Google Cloud 上の暗号化された Confluent Cloud 専用クラスターを作成するには、以下の手順に従います。

  1. 対象の環境の Clusters ページに移動し、その環境で最初のクラスターを作成する場合は Create cluster を、他のクラスターが存在する場合は Add cluster をクリックします。

  2. Create cluster の下の 1. Select cluster type で、Dedicated を選択し、Begin Configuration をクリックします。

  3. Create cluster の下の 2. Regions/zones で、クラウドサービスプロバイダーとして Google Cloud を選択し、RegionAvailability を選択して、Continue をクリックします。

  4. Create cluster の下の 3. Networking で、ネットワーク の種類を選択し、Continue をクリックします。

  5. Create cluster の下の 4 - Security で、Self-managed を選択します。Google Cloud Key Management Service を使用して独自の暗号化キーを管理できるようになります。追加の手順が表示されます。

    Step 1: Google Cloud KMS コンソール に移動し、暗号化キーのリソース名をコピーします。Confluent Cloud に戻ってそれを Google Cloud resource name フィールドに貼り付けます。

    Step 2: Google Cloud KMS コンソール で、以下のタスクを完了します。

    • 必要な以下の権限を付与する カスタムロール を作成します。
      • cloudkms.cryptoKeyVersions.useToDecrypt
      • cloudkms.cryptoKeyVersions.useToEncrypt
      • cloudkms.cryptoKeys.get
    • Confluent Cloud Console から Google グループ ID をコピーし、Google Cloud KMS コンソール に戻ります。Google Cloud のリソース名 (Step 1 で入力)のキーを選択し、権限 タブで メンバーを追加 をクリックして、コピーした Google グループ ID を新しいメンバーとして貼り付けます。カスタムロールを割り当て、保存 をクリックします。
    • 詳細については、以下を参照してください。

    Google Cloud KMS で上の 2 つの手順を完了したら、Confluent Cloud に戻って Continue をクリックします。

  6. Create cluster の下の 5. Review and launch で、Cluster name にクラスター名を入力し、Launch Cluster をクリックします。

注釈

検証が成功すると、クラスターのプロビジョニングが行われます。暗号化キーが無効であるか、Confluent に対して暗号化キーが認可されていないために、クラスター構成が無効である場合は、そのことを示すエラーメッセージが表示されます。モーダルを閉じると、無効なフィールドが元のフォームで強調表示されます。強調表示されたフィールドに有効な値を再入力してください。

Confluent CLI を使用した、セルフマネージド型キーを使用する暗号化クラスターの作成

Google Cloud 上の Confluent Cloud でセルフマネージド型暗号化キーを使用する専用クラスターを作成するには、次のコマンドを実行します。クラスター名(<cluster-name>)、Confluent Kafka ユニットの数(<cku-number>)、Google Cloud 暗号化キー ID(<gcp-encryption-id>)の値は実際の値に置き換えます。

confluent kafka cluster create <cluster-name> --cloud "gcp" --region "<KMS-region>" --type "dedicated" --cku <cku-number> --encryption-key "<GCP-key-resource-namespace>"
Create a role with these permissions, add the identity as a member of your key, and grant your role to the member.

Permissions:

  - ``cloudkms.cryptoKeyVersions.useToDecrypt``

  - ``cloudkms.cryptoKeyVersions.useToDecrypt``

  - ``cloudkms.cryptoKeyVersions.get``

Identity:
  <Google-Group-ID>


Please confirm you've authorized the key for this account: <Google-Group-ID> (y/n):y

--encryption-key オプションを指定すると、Google Cloud KMS ポリシーをアップデートするように求められます。

詳細については、以下を参照してください。

専用クラスターのセキュリティ設定の表示

セルフマネージド型暗号化キーを使用する専用クラスターを作成すると、Google Cloud でクラスターがプロビジョニングされた後、セキュリティ設定を表示できます。クラスターのセキュリティ設定を使用して、使用されている暗号化キーを検証できます。

Google Cloud の専用クラスターのセキュリティ設定を確認するには、次の手順に従います。

  1. Confluent Cloud クラスターを選択します。
  2. Cluster settings タブをクリックしてから、Security をクリックします。

Google Cloud の専用クラスターの表示の権限を付与されているすべてのユーザーがこのデータを表示できることに注意してください。