Application Integration でサポートされているコネクタをご覧ください。

顧客管理の暗号鍵

デフォルトでは、Application Integration はお客様のコンテンツを保存時に暗号化します。Application Integration では、ユーザーが追加で操作を行わなくても暗号化が行われます。このオプションは、Google のデフォルトの暗号化と呼ばれます。

暗号鍵を管理する場合は、Cloud KMS の顧客管理の暗号鍵（CMEK）を、Application Integration などの CMEK 統合サービスで使用できます。Cloud KMS 鍵を使用すると、保護レベル、ロケーション、ローテーション スケジュール、使用とアクセスの権限、暗号境界を制御できます。Cloud KMS を使用すると、監査ログを表示し、鍵のライフサイクルを管理することもできます。データを保護する対称鍵暗号鍵（KEK）は Google が所有して管理するのではなく、ユーザーが Cloud KMS でこれらの鍵の制御と管理を行います。

CMEK を使用してリソースを設定した後は、Application Integration リソースへのアクセスは、Google のデフォルトの暗号化を使用する場合と同様です。暗号化オプションの詳細については、顧客管理の暗号鍵（CMEK）をご覧ください。

始める前に

Application Integration で CMEK を使用する前に、次のタスクが完了していることを確認してください。

1. 暗号鍵を格納するプロジェクトの Cloud KMS API を有効にする。

   Cloud KMS API の有効化

   • Application Integration を設定したプロジェクトとは異なるプロジェクト（共有プロジェクトまたは鍵ホスティング プロジェクト）で CMEK を使用する場合:
   1. 共有プロジェクトまたはキーホスティング プロジェクトで次の API を有効にします。
      • Cloud Key Management Service API
   2. 共有プロジェクトまたは鍵ホスティング プロジェクトの Application Integration デフォルトのサービス アカウントに、CMEK 鍵に対する次の IAM ロールを付与します。
      • Cloud KMS 暗号鍵の暗号化/復号
2. CMEK 鍵を管理するユーザーに Cloud KMS 管理者 IAM ロールを割り当てます。また、暗号鍵を格納するプロジェクトに対して次の IAM 権限を付与します。
   • cloudkms.cryptoKeys.setIamPolicy
   • cloudkms.keyRings.create
   • cloudkms.cryptoKeys.create
   • cloudkms.cryptoKeyVersions.useToEncrypt

   追加のロールまたは権限の付与については、アクセス権の付与、変更、取り消しをご覧ください。

3. 鍵リングと鍵を作成します。

サービス アカウントを CMEK 鍵に追加する

Application Integration で CMEK 鍵を使用するには、デフォルトのサービス アカウントが追加され、その CMEK 鍵の CryptoKey Encrypter/Decrypter IAM ロールが割り当てられていることを確認する必要があります。

1. Google Cloud コンソールで、[主なインベントリ] ページに移動します。

   [鍵のインベントリ] ページに移動

2. 使用する鍵のチェックボックスをオンにします。

   右側のウィンドウの [権限] タブが有効になります。

3. [プリンシパルを追加] をクリックし、デフォルトのサービス アカウントのメールアドレスを入力します。
4. [ロールを選択] をクリックし、使用可能なプルダウン リストから [Cloud KMS 暗号鍵の暗号化/復号] ロールを選択します。
5. [保存] をクリックします。

Application Integration リージョンの CMEK 暗号化を有効にする

CMEK を使用して、プロビジョニングされたリージョンの範囲内の PD に保存されたデータを暗号化および復号できます。

Google Cloud プロジェクトの Application Integration リージョンで CMEK 暗号化を有効にするには、次の操作を行います。

1. Google Cloud コンソールで、[Application Integration] ページに移動します。

   Application Integration に移動

2. ナビゲーション メニューで、[Regions] をクリックします。

   [Regions] ページに、Application Integration にプロビジョニングされたリージョンが一覧表示されます。

3. CMEK を使用する既存の統合に対して、 more_vert [アクション] をクリックし、[暗号化を編集] を選択します。
4. [暗号化の編集] ペインで、[詳細設定] セクションを開きます。
5. [顧客管理の暗号鍵（CMEK）を使用する] を選択し、次の操作を行います。
   1. 使用可能なプルダウン リストから CMEK 鍵を選択します。プルダウン リストに表示される CMEK 鍵は、プロビジョニングされたリージョンに基づいています。新しい鍵を作成するには、新しい CMEK 鍵を作成するをご覧ください。
   2. [確認] をクリックして、デフォルトのサービス アカウントに、選択した CMEK 鍵への暗号鍵へのアクセス権があるかどうかを確認します。
   3. 選択した CMEK 鍵の検証に失敗した場合は、[付与] をクリックし、暗号鍵の暗号化 / 復号 IAM ロールをデフォルトのサービス アカウントに割り当てます。
6. [完了] をクリックします。

新しい CMEK を作成する

既存の鍵を使用しない場合や、指定したリージョンに鍵がない場合は、新しい CMEK 鍵を作成できます。

新しい対称暗号鍵を作成するには、[新しい鍵を作成する] ダイアログで次の操作を行います。

1. [キーリング] を選択します。
   1. [キーリング] をクリックし、指定したリージョンにある既存のキーリングを選択します。
   2. 鍵の新しい鍵リングを作成する場合は、[鍵リングを作成] 切り替えをクリックして、次の手順を行います。
      1. [キーリング名] をクリックして、キーリングの名前を入力します。
      2. [キーリングのロケーション] をクリックして、キーリングのリージョン ロケーションを選択します。
   3. [続行] をクリックします。
2. キーを作成
   1. [キー名] をクリックし、新しいキーの名前を入力します。
   2. [保護レベル] をクリックし、[ソフトウェア] または [HSM] のいずれかを選択します。

      保護レベルについては、Cloud KMS の保護レベルをご覧ください。

3. 鍵とキーリングの詳細を確認し、[続行] をクリックします。
4. [作成] をクリックします。

暗号化データ

次の表に、Application Integration で暗号化されるデータを示します。

リソース	暗号化データ
インテグレーションの詳細	タスク構成のパラメータ タスク構成の説明
インテグレーションの実行情報	リクエスト パラメータ レスポンス パラメータ データセットの詳細
認証プロファイルの認証情報	ユーザー名とパスワード API キー OAuth 2.0 認証コード OAuth 2.0 クライアント認証情報 OAuth 2.0 リソース オーナー パスワード認証情報 認証トークン JWT トークン サービス アカウント SSL/TLS クライアント証明書 Google OIDC ID トークン
承認 / 停止タスクの詳細	承認または停止の構成

Cloud KMS の割り当てと Application Integration

Application Integration で CMEK を使用すると、プロジェクトで Cloud KMS 暗号リクエストの割り当てが消費されることがあります。たとえば、CMEK 鍵は、暗号化と復号の呼び出しごとにこれらの割り当てを消費することがあります。

CMEK 鍵を使用する暗号化と復号のオペレーションは、次のように Cloud KMS の割り当てに影響します。

• Cloud KMS で生成されたソフトウェア CMEK 鍵の場合、Cloud KMS の割り当ては消費されません。
• ハードウェア CMEK 鍵（Cloud HSM 鍵とも呼ばれる）の場合、暗号化と復号のオペレーションは、その鍵が含まれるプロジェクトの Cloud HSM の割り当てにカウントされます。
• 外部 CMEK 鍵（Cloud EKM 鍵とも呼ばれる）の場合、暗号化と復号のオペレーションは、その鍵が含まれるプロジェクトの Cloud EKM の割り当てにカウントされます。

詳細については、Cloud KMS の割り当てをご覧ください。