Cloud KMS でデータを暗号化するだけで、組織の従業員が暗号化されたデータにアクセスできなくなりますか? 不必要な露出を避けるためのベスト プラクティスにはどのようなものがありますか?
質問する
138 次
1 に答える
1
Cloud KMS のリソースは、IAM を使用してアクセスを管理し、Cloud Audit Logging を使用してアクセスを監査できる Google Cloud Platform リソースです。暗号化キーの使用を、アクセス権を持つべき個人のみに制限するアクセス許可を設定する必要があります。
職務分離の原則を適用できます。暗号化キーを管理する個人は、シークレットなど、それらのキーが保護するものにアクセスする個人と同じであってはなりません。実際には、キー ローテーションなどのキー管理権限を 1 人に付与する必要があります (IAM ロール: Cloud KMS 管理者)。データにアクセスするための暗号化 / 復号など、別の個人の鍵使用権 (IAM 役割: Cloud KMS 暗号鍵の暗号化 / 復号化)。
Cloud KMS での職務の分離について詳しくは、https ://cloud.google.com/kms/docs/separation-of-duties をご覧ください。
gcloud run を使用して、役割 Cloud KMS 管理者で鍵を管理する権限をユーザーに付与するには:
gcloud beta kms cryptokeys add-iam-policy-binding \
CRYPTOKEY_NAME --location LOCATION --keyring KEYRING_NAME \
--member user:MY-USER@gmail.com \
--role roles/cloudkms.admin
Cloud KMS CryptoKey Encrypter/Decrypter ロールを持つ鍵を使用して暗号化および復号する機能をサービス アカウントに付与するには、gcloud run を使用します。
gcloud beta kms cryptokeys add-iam-policy-binding \
CRYPTOKEY_NAME --location LOCATION --keyring KEYRING_NAME \
--member serviceAccount:MY-SERVICE_ACCOUNT@MY-PROJECT.iam.gserviceaccount.com \
--role roles/cloudkms.cryptoKeyEncrypterDecrypter
于 2017-01-11T18:07:57.243 に答える