外部キー管理サービスから独自のKEKへのアクセスを許可することを選択した場合、そのKEKは、当社が提供するDEKの暗号化または復号に使用されます。これにより、データのセキュリティをお客様自身で管理できるため、組織のセキュリティが強化されます。
プロセスは次のとおりです。
Zoho Directoryでキーを設定すると、当社からお客様のEKMに、当社のDEKを暗号化するためのリクエストを送信します。
EKMから返された暗号化済みのDEKは、当社の社内KMSに保存されます。
暗号化されたDEKを復号するために、保存された暗号文を使用してお客様のEKMに復号リクエストを送信し、平文のDEKを受け取ります。
平文のDEKは、お客様が許可した期間中のみキャッシュされます。その後、EKMに暗号化/復号リクエストが再度送信され、プロセス全体が繰り返されます。
Zoho Directoryにサインインします。
[管理画面]をクリックし、[セキュリティ]をクリックします。
メモ:すでにキーを追加している場合は、右側にある[キーの追加]をクリックします。
キーの追加画面で、[キー名]を入力し、[アプリ]を選択して、[キーの種類]として[外部キー管理サービス]を選択します。
メモ:利用可能なアプリをすべて選択した場合、[キー名]は編集できません。1つのアプリに適用できるキーは1つだけです。すでに割り当てられているアプリは、[利用可能なアプリ]に表示されません。
キーの詳細で、キーのプロバイダーに関する必要な詳細を入力します。
[AWS]を選択した場合は、[認証方式]を選択します。
[IAM認証情報]:クライアントID、クライアントシークレット、キーID、ドメインを入力します。
[IAM Roles Anywhere]:キーID、ドメイン、Roles Anywhereドメイン、トラストアンカーARN、プロファイルARN、ロールARNを入力します。次に、証明書と秘密鍵をアップロードします。
AWSでキーを設定する
キー提供元として[Google KMS]を選択した場合、
[キーリング]、[キーリング名]、[キーバージョン]、[ロケーション]を入力し、JSON形式のサービスアカウントキーをアップロードして、[Raw encrypt]を有効にします。
Google KMSでキーを設定する
キー提供元として[Thales CTM]を選択した場合、
[ユーザー名]、[パスワード]、[キーID]、[ドメイン]を入力します。
Thales CTMでキーを設定する
キー提供元として[Fortanix DSM]を選択した場合、
[APIキー]、[キーID]、[ドメイン]を入力します。
Fortanix DSMでキーを設定する
キー提供元として[Futurex CryptoHub]を選択した場合、[APIキー]、[キーID]、[ドメイン]を入力します。
Futurex CryptoHubでキーを設定する
キー提供元として[Azure]を選択した場合、[クライアントID]、[クライアントシークレット]、[OAuth 2.0トークンエンドポイント(v2)]、[キー識別子URL]を入力します。
Azure Key Vaultでキーを設定する
必要な[キャッシュ期間]をドロップダウンリストから選択します。
[追加]をクリックします。