ビュー:
プロファイル適用性: レベル2
Customer-Managed Encryption Keys (CMEK) を使用して、Cloud Key Management Service (Cloud KMS) 内で管理されているキーを使用してノードのブートディスクを暗号化します。
GCEの永続ディスクは、デフォルトでGoogleが管理するキーを使用したエンベロープ暗号化によって保存時に暗号化されます。追加の保護のために、ユーザはCloud KMSを使用してキー暗号化キーを管理できます。
注意
注意
永続ディスクはデフォルトで保存時に暗号化されますが、デフォルトでは顧客管理の暗号化キーを使用して暗号化されません。デフォルトでは、Compute Engine永続ディスクCSIドライバーはクラスター内にプロビジョニングされません。

影響

動的にプロビジョニングされたアタッチディスクの暗号化には、自己プロビジョニングされたCompute Engine Persistent Disk CSI Driver v0.5.1以上の使用が必要です。CMEKをリージョンクラスターで構成する場合、クラスターはGKE 1.14以上で実行されている必要があります。

監査

Google Cloud Consoleを使用する:
  1. Google CloudコンソールKubernetes EngineページにアクセスしてKubernetes Engineに移動します
  2. 各クラスタをクリックし、任意のノードプールをクリックしてください。
  3. ノードプール詳細ページのセキュリティ見出しの下で、ブートディスク暗号化タイプが希望するキーで顧客管理に設定されていることを確認してください。
コマンドラインを使用:
Customer-Managed Encryption Keys (CMEK) を確認するには、まずNode Pool、Cluster Name、Location、Projectの4つの変数を定義し、次のコマンドを実行します。
gcloud container node-pools describe $NODE_POOL --cluster $CLUSTER_NAME -- 
location $LOCATION --project $PROJECT_ID --format="table(name, 
config.diskType)"
サンプル出力:
NAME   DISK_TYPE 
pool1   pd-balanced
上記のコマンドの出力にdiskTypepd-standardpd-balanced、またはpd-ssdのいずれかであり、bootDiskKmsKeyが希望するキーとして指定されていることを確認してください。

修復

これは既存のクラスターを更新しても修正できません。ノードプールを再作成するか、新しいクラスターを作成する必要があります。
Google Cloud Consoleを使用する:
ノードプールを新規作成するには
  1. Google CloudコンソールKubernetes EngineページにアクセスしてKubernetes Engineに移動します
  2. ノードブートディスクCMEKが無効になっているKubernetesクラスターを選択してください。
  3. ノードプールを追加をクリックします。
  4. ノードセクションのマシン構成で、ブートディスクタイプが標準永続ディスクまたはSSD永続ディスクであることを確認してください。
  5. ブートディスクの顧客管理暗号化を有効にし、使用するCloud KMS暗号化キーを選択します。
  6. 作成をクリックします。
クラスターを新規作成するには
  1. Google CloudコンソールKubernetes EngineページにアクセスしてKubernetes Engineに移動します
  2. CREATEをクリックし、必要なクラスター モードの`CONFIGURE`をクリックします。
  3. NODE POOLSの下で、default-poolリストを展開し、ノードをクリックします。
  4. 構成ノード設定ペインで、ブートディスクタイプとして標準永続ディスクまたはSSD永続ディスクを選択します。
  5. ブートディスクの顧客管理暗号化を有効にするチェックボックスを選択し、使用するCloud KMS暗号化キーを選択してください。
  6. 必要に応じて残りのクラスター設定を構成します。
  7. 作成をクリックします。
コマンドラインを使用:
pd-standardまたはpd-ssd<disk_type>のノードブートディスクに顧客管理の暗号化キーを使用して新しいノードプールを作成します。
gcloud container node-pools create <cluster_name> --disk-type <disk_type> -- 
boot-disk-kms-key 
projects/<key_project_id>/locations/<location>/keyRings/<ring_name>/cryptoKey 
s/<key_name>
<disk_type>pd-standardまたはpd-ssdのいずれかのノードブートディスクに対して、顧客管理の暗号化キーを使用してクラスターを作成します。
gcloud container clusters create <cluster_name> --disk-type <disk_type> -- 
boot-disk-kms-key 
projects/<key_project_id>/locations/<location>/keyRings/<ring_name>/cryptoKey 
s/<key_name>