顧客管理の暗号鍵を有効にする

顧客管理の暗号鍵(CMEK)を使用すると、Google Cloud の保存データの保護のために使用される暗号鍵を管理できます。この記事では、Ads Data Hub で CMEK を設定、管理する方法について説明します。

Ads Data Hub は、Google が管理する鍵を使用して保存データを暗号化します。CMEK を使用する必要がある特定の要件がある場合を除き、Google のデフォルトの暗号化が最適な選択になります。

CMEK を使用する場合、次の要件を満たす必要があります。

  • Cloud Key Management Service(KMS)を使用する。
  • 以前に管理者プロジェクトを設定しており、新しいサービス アカウントへの更新を済ませている。

CMEK の詳細

CMEK を有効にする

  1. Cloud KMS のページで、対称鍵を作成します。
    1. 鍵はどの Google Cloud プロジェクトでも作成できます。
    2. 対応している Cloud KMS のロケーションで鍵を作成するようにしてください。Cloud KMS ガイドラインでは、パフォーマンスに関する潜在的な制限があるため、「グローバル」リージョンの使用は推奨されていません。リージョンが不明な場合は、Ads Data Hub サポートまでお問い合わせください。
      ADH リージョンCloud KMS のロケーション
      USUS
      EUeurope
      asia-northeast1asia、asia-northeast1
      australia-southeast1australia-southeast1
  2. Cloud Identity and Access Management(IAM)のページで、Cloud KMS 暗号鍵の暗号化 / 復号のロール(roles/cloudkms.cryptoKeyEncrypter)を Ads Data Hub サービス アカウントに付与します。Cloud KMS のページで、鍵に対する権限を Ads Data Hub サービス アカウントに直接付与することもできます。
  3. Ads Data Hub UI での手順は以下のとおりです。
    1. [設定] タブに移動します。
    2. [顧客管理の暗号化] で [編集] をクリックします。
    3. [顧客管理の暗号化] をオンに切り替えます。
    4. 鍵のリソース ID を貼り付けます。注: これは、特定のバージョンのものではなく、全体のリソース ID にする必要があります。Cloud KMS リソース ID を取得する方法の詳細
    5. [保存] をクリックします。

鍵を管理する

鍵のローテーション

鍵のローテーションは一般的なセキュリティ対策です。Cloud KMS のページでの鍵のローテーション方法については、こちらをご覧ください。

Ads Data Hub は、アカウントに関連付けられている Cloud KMS の鍵がローテーションされても、暗号鍵を自動的にローテーションすることはありません。既存のテーブルでは引き続き、作成時に使用された鍵のバージョンが使用されます。新しいテーブルでは現在の鍵バージョンが使用されます。

鍵を変更する

既存の鍵をローテーションする代わりに、新しい鍵に変更することができます。これは、鍵を破棄したり、鍵管理を大幅に変更したりする場合(別の保護レベルに変更する場合など)に便利です。

新しい鍵に切り替える場合は、CMEK を有効にするの手順に沿ってください。注意: 更新が完了する前に以前までの鍵を変更したり破棄したりすると、データが完全に失われる場合があります。

権限を取り消す、鍵を無効にするか破棄する

Google Cloud のドキュメントの手順に沿って、次の操作を行います。

  • Ads Data Hub サービス アカウントの権限を取り消します
    • この操作はすぐに有効になります。問題を解決しないと、Ads Data Hub でクエリを実行することはできず、一時テーブルとモデルに回復不能なデータ損失が発生する場合があります。
  • 鍵を無効にします
    • この操作が Ads Data Hub に反映されるまで 3 時間ほどかかることがあります。それまでは、無効にした鍵を使用して Ads Data Hub で引き続きクエリを実行できます。
  • 鍵を破棄します。
    • 重要: 鍵を破棄する前に CMEK を無効にしてください。そうしないと、問題を解決するまで Ads Data Hub でクエリを実行することはできず、一時テーブルとモデルに回復不能なデータ損失が発生する場合があります。

CMEK を無効にする

アクティブな鍵を削除する前に、CMEK を無効にすることが重要です。そうしないと、削除した鍵を使用して暗号化されたデータにアクセスできなくなります。

CMEK を無効にする手順は次のとおりです。

  1. Ads Data Hub の [設定] タブに移動します。
  2. [顧客管理の暗号化] で [編集] をクリックします。
  3. [顧客管理の暗号化] をオフに切り替えます。
  4. [保存] をクリックします。