内部のデータやクラウドKMSで暗号化された秘密にアクセスできないようにするにはどうすればよいですか？

Question

組織の従業員が暗号化されたデータにアクセスするのを防ぐのに十分なCloud KMSでデータを暗号化していますか？不要なばく露を避けるためのベストプラクティスは何ですか？

Answer 1

Cloud KMSのリソースは、IAMを使用してアクセスを管理し、Cloud Audit Loggingを使用してアクセスを管理できるGoogle Cloud Platformリソースです。暗号化キーの使用を制限する権限を設定する必要があります。

職務分掌の原則を適用することができます。暗号鍵を管理する個人は、秘密など、これらの鍵が保護するものにアクセスする個人と同じであってはなりません。実際には、キーローテーションなどの管理者権限を1人に付与する必要があります（IAMの役割：Cloud KMS Admin）。データにアクセスするための暗号化/復号化（IAMロール：Cloud KMS CryptoKey Encrypter/Decrypter）のような別の個人鍵使用権が含まれます。与えるために

gcloud beta kms cryptokeys add-iam-policy-binding \ 
    CRYPTOKEY_NAME --location LOCATION --keyring KEYRING_NAME \ 
    --member user:MY-USER@gmail.com \ 
    --role roles/cloudkms.admin 

：のgcloud実行を使用して、ユーザーに役割クラウドKMS管理と鍵を管理する能力を与えることhttps://cloud.google.com/kms/docs/separation-of-duties

：クラウドKMSでの職務の分離に関する更なる議論については

サービスアカウントクラウドKMS CryptoKey Encrypter/Decrypter（gcloud実行時）：

gcloud beta kms cryptokeys add-iam-policy-binding \ 
    CRYPTOKEY_NAME --location LOCATION --keyring KEYRING_NAME \ 
    --member serviceAccount:MY-SERVICE_ACCOUNT@MY-PROJECT.iam.gserviceaccount.com \ 
    --role roles/cloudkms.cryptoKeyEncrypterDecrypter 

を使用して、役割を持つ鍵を使用して暗号化と復号化を行う機能