プロファイル適用性: レベル2
Cloud Key Management Service (Cloud KMS) 内で管理されているキーを使用して、ノードのブートディスクを暗号化するために、Customer-Managed
Encryption Keys (CMEK) を使用します。
GCEの永続ディスクは、Googleによって管理されるキーを使用したエンベロープ暗号化により、デフォルトで保存時に暗号化されています。追加の保護のために、ユーザはCloud
KMSを使用してキー暗号化キーを管理できます。
![]() |
注意永続ディスクはデフォルトで保存時に暗号化されますが、デフォルトでは顧客管理の暗号化キーを使用して暗号化されません。デフォルトでは、Compute Engine Persistent
Disk CSI Driverはクラスター内にプロビジョニングされません。
|
影響
動的にプロビジョニングされたアタッチディスクの暗号化には、自己プロビジョニングされたCompute Engine Persistent Disk CSI Driver
v0.5.1以上の使用が必要です。
CMEKがリージョナルクラスターで構成されている場合、クラスターはGKE 1.14以上で実行する必要があります。
監査
Google Cloud Consoleを使用する:
- Kubernetes Engine のウェブサイトに移動します。
- 各クラスターをクリックし、任意のノードプールをクリックしてください。
- ノードプール詳細ページのセキュリティ見出しの下で、ブートディスク暗号化タイプが希望するキーで顧客管理に設定されていることを確認してください。
コマンドラインの使用:
このコマンドを実行してください:
gcloud container node-pools describe $NODE_POOL --cluster $CLUSTER_NAME --zone $COMPUTE_ZONE
上記のコマンドの出力に
diskType
がpd-standard
、pd-balanced
、またはpd-ssd
のいずれかを含み、bootDiskKmsKey
が希望するキーとして指定されていることを確認してください。修復
これは既存のクラスターを更新しても修正できません。ノードプールを再作成するか、新しいクラスターを作成する必要があります。
Google Cloud Consoleを使用する:
新しいノードプールを作成するには:
- Kubernetes Engine のウェブサイトに移動します。
- ノードブートディスクのCMEKが無効になっているKubernetesクラスターを選択します。
- [ADD NODE POOL]をクリックしてください。
- ノードセクションのマシン構成で、ブートディスクタイプが標準永続ディスクまたはSSD永続ディスクであることを確認してください。
- [Enable customer-managed encryption for Boot Disk]を選択し、使用するCloud KMS暗号化キーを選択します。
- [作成] をクリックします。
新しいクラスターを作成するには:
- Kubernetes Engine のウェブサイトに移動します。
- [CREATE]をクリックし、必要なクラスター モードのために[CONFIGURE]をクリックします。
- NODE POOLSの下で、default-poolリストを展開し、[ノード]をクリックします。
- 構成ノード設定ペインで、ブートディスクタイプとして[Standard persistent disk]または[SSD Persistent Disk]を選択します。
- [Enable customer-managed encryption for Boot Disk]チェックボックスを選択し、使用するCloud KMS暗号化キーを選択します。
- 必要に応じてクラスタ設定の残りを構成します。
- [作成] をクリックします。
コマンドラインの使用:
pd-standard
またはpd-ssd
のいずれかの<disk_type>
のノードブートディスクに対して、顧客管理の暗号化キーを使用して新しいノードプールを作成します。gcloud container node-pools create <cluster_name> --disk-type <disk_type> --boot-disk-kms-key projects/<key_project_id>/locations/<location>/keyRings/<ring_name> /cryptoKeys/<key_name>
ノードブートディスクの顧客管理暗号化キーを使用して、
<disk_type>
がpd-standard
またはpd-ssd
のクラスターを作成します。gcloud container clusters create <cluster_name> --disk-type <disk_type> --boot-disk-kms-key projects/<key_project_id>/locations/<location>/keyRings/<ring_name> /cryptoKeys/<key_name>