データセキュリティの強化、コンプライアンス要件への対応、不正アクセスの防止を目的として、Cloud Backup は KMS ベースの暗号化を提供しています。このトピックでは、この機能の使用方法について説明します。
概要
KMS ベースの暗号化により、Key Management Service (KMS) を使用して独自の暗号鍵を管理し、バックアップボールトを暗号化できます。
バックアップボールトで KMS ベースの暗号化を有効にすると、カスタマーマスターキー (CMK) を変更できなくなります。
CMK を無効化または削除すると、暗号化されたバックアップボールト内のデータは復元できなくなります。
バックアップボールトの暗号化を設定する前に、CMK を計画して作成する必要があります。詳細については、「CMK の作成」をご参照ください。
この機能は、無料のバックアップポリシーでは利用できません。
Cloud Backup はデフォルトキーのみをサポートします。
KMS ベースの暗号化はキーのローテーションをサポートしています。キーのローテーションは、バックアップまたは復元操作に影響しません。
サポートされているリージョンの一覧については、「各リージョンで利用可能な機能」をご参照ください。
操作手順
CMK を準備します。
KMS ベースの暗号化を使用する前に、カスタマーマスターキー (CMK) を作成し、そのキー ID を取得する必要があります。詳細については、「CMK の作成」をご参照ください。
KMS ベースの暗号化を有効にするには、バックアップボールト暗号化モード を KMS に設定し、KMS キー ID を指定します。暗号化されたバックアップボールトを作成するには、[バックアップボールトの作成] タブを選択します。[バックアップボールト名] と [バックアップボールトリソースグループ] を入力します。[ボールト暗号化方式] には、[KMS] を選択します。次に、サービスリンクロールの作成に同意するためのチェックボックスを選択し、[KMS KeyId] フィールドに CMK の ID を入力します。重要: KMS ベースの暗号化を有効にした後は、CMK を削除または無効化しないでください。この操作を行うと、ボールトのすべてのバックアップと復元の操作ができなくなります。
たとえば、doctest という名前のバックアップボールトを作成した場合、リポジトリ管理 ページでは、そのボールトの ストレージボールトのタイプ 列に KMS 暗号化 タグが表示されます。