ビュー:
プロファイル適用性: レベル2
Cloud Key Management Service (Cloud KMS) 内で管理されているキーを使用して、ノードのブートディスクを暗号化するために、Customer-Managed Encryption Keys (CMEK) を使用します。
GCEの永続ディスクは、Googleによって管理されるキーを使用したエンベロープ暗号化により、デフォルトで保存時に暗号化されています。追加の保護のために、ユーザはCloud KMSを使用してキー暗号化キーを管理できます。
注意
注意
永続ディスクはデフォルトで保存時に暗号化されますが、デフォルトでは顧客管理の暗号化キーを使用して暗号化されません。デフォルトでは、Compute Engine Persistent Disk CSI Driverはクラスター内にプロビジョニングされません。

影響

動的にプロビジョニングされたアタッチディスクの暗号化には、自己プロビジョニングされたCompute Engine Persistent Disk CSI Driver v0.5.1以上の使用が必要です。
CMEKがリージョナルクラスターで構成されている場合、クラスターはGKE 1.14以上で実行する必要があります。

監査

Google Cloud Consoleを使用する:
  1. Kubernetes Engine のウェブサイトに移動します。
  2. 各クラスターをクリックし、任意のノードプールをクリックしてください。
  3. ノードプール詳細ページのセキュリティ見出しの下で、ブートディスク暗号化タイプが希望するキーで顧客管理に設定されていることを確認してください。
コマンドラインの使用:
このコマンドを実行してください:
gcloud container node-pools describe $NODE_POOL --cluster $CLUSTER_NAME 
--zone $COMPUTE_ZONE
上記のコマンドの出力にdiskTypepd-standardpd-balanced、またはpd-ssdのいずれかを含み、bootDiskKmsKeyが希望するキーとして指定されていることを確認してください。

修復

これは既存のクラスターを更新しても修正できません。ノードプールを再作成するか、新しいクラスターを作成する必要があります。
Google Cloud Consoleを使用する:
新しいノードプールを作成するには:
  1. Kubernetes Engine のウェブサイトに移動します。
  2. ノードブートディスクのCMEKが無効になっているKubernetesクラスターを選択します。
  3. [ADD NODE POOL]をクリックしてください。
  4. ノードセクションのマシン構成で、ブートディスクタイプが標準永続ディスクまたはSSD永続ディスクであることを確認してください。
  5. [Enable customer-managed encryption for Boot Disk]を選択し、使用するCloud KMS暗号化キーを選択します。
  6. [作成] をクリックします。
新しいクラスターを作成するには:
  1. Kubernetes Engine のウェブサイトに移動します。
  2. [CREATE]をクリックし、必要なクラスター モードのために[CONFIGURE]をクリックします。
  3. NODE POOLSの下で、default-poolリストを展開し、[ノード]をクリックします。
  4. 構成ノード設定ペインで、ブートディスクタイプとして[Standard persistent disk]または[SSD Persistent Disk]を選択します。
  5. [Enable customer-managed encryption for Boot Disk]チェックボックスを選択し、使用するCloud KMS暗号化キーを選択します。
  6. 必要に応じてクラスタ設定の残りを構成します。
  7. [作成] をクリックします。
コマンドラインの使用:
pd-standardまたはpd-ssdのいずれかの<disk_type>のノードブートディスクに対して、顧客管理の暗号化キーを使用して新しいノードプールを作成します。
gcloud container node-pools create <cluster_name> --disk-type <disk_type> 
--boot-disk-kms-key 
projects/<key_project_id>/locations/<location>/keyRings/<ring_name>
/cryptoKeys/<key_name>
ノードブートディスクの顧客管理暗号化キーを使用して、<disk_type>pd-standardまたはpd-ssdのクラスターを作成します。
gcloud container clusters create <cluster_name> --disk-type <disk_type> 
--boot-disk-kms-key 
projects/<key_project_id>/locations/<location>/keyRings/<ring_name>
/cryptoKeys/<key_name>