外部キー管理ツールからのキー追加

外部キー管理ツールからのキー追加

お知らせ:当社は、お客様により充実したサポート情報を迅速に提供するため、本ページのコンテンツは機械翻訳を用いて日本語に翻訳しています。正確かつ最新のサポート情報をご覧いただくには、本内容の英語版を参照してください。

概要


Bring Your Own Key(BYOK)は、ZohoのKEKの代わりに独自の鍵暗号化鍵(KEK)を使用できる機能です。任意の外部キー管理サービス(EKM)からキーを追加するか、暗号化されたキーを手動でアップロードできます。

外部キー管理サービスから独自のKEKへのアクセスを許可することを選択した場合、そのKEKは、当社が提供するDEKの暗号化または復号に使用されます。これにより、データのセキュリティをお客様自身で管理できるため、組織のセキュリティが強化されます。
プロセスは次のとおりです。

  1. Zoho Directoryでキーを設定すると、当社からお客様のEKMに、当社のDEKを暗号化するためのリクエストを送信します。

  2. EKMから返された暗号化済みのDEKは、当社の社内KMSに保存されます。

  3. 暗号化されたDEKを復号するために、保存された暗号文を使用してお客様のEKMに復号リクエストを送信し、平文のDEKを受け取ります。

  4. 平文のDEKは、お客様が許可した期間中のみキャッシュされます。その後、EKMに暗号化/復号リクエストが再度送信され、プロセス全体が繰り返されます。

Notes
メモ:外部キー管理サービス(EKM)の外部キーが変更された場合やアクセスできない場合、データの暗号化または復号は動作しません。


キーの追加

  1. Zoho Directoryにサインインします

  2. [管理画面]をクリックし、[セキュリティ]をクリックします。

  1. [BYOK]をクリックし、[設定]をクリックします。
    Notesメモ:すでにキーを追加している場合は、右側にある[キーの追加]をクリックします。

  1. キーの追加画面で、[キー名]を入力し、[アプリ]を選択して、[キーの種類]として[外部キー管理サービス]を選択します。

Notesメモ:利用可能なアプリをすべて選択した場合、[キー名]は編集できません。1つのアプリに適用できるキーは1つだけです。すでに割り当てられているアプリは、[利用可能なアプリ]に表示されません。

  1. キーの詳細で、キーのプロバイダーに関する必要な詳細を入力します。

  • [AWS]を選択した場合は、[認証方式]を選択します。

    • [IAM認証情報]:クライアントID、クライアントシークレット、キーID、ドメインを入力します。

    • [IAM Roles Anywhere]:キーID、ドメイン、Roles Anywhereドメイン、トラストアンカーARN、プロファイルARN、ロールARNを入力します。次に、証明書と秘密鍵をアップロードします。
      AWSでキーを設定する



  • キー提供元として[Google KMS]を選択した場合、
    [キーリング]、[キーリング名]、[キーバージョン]、[ロケーション]を入力し、JSON形式のサービスアカウントキーをアップロードして、[Raw encrypt]を有効にします。
    Google KMSでキーを設定する


  • キー提供元として[Thales CTM]を選択した場合、
    [ユーザー名]、[パスワード]、[キーID]、[ドメイン]を入力します。
    Thales CTMでキーを設定する


  • キー提供元として[Fortanix DSM]を選択した場合、
    [APIキー]、[キーID]、[ドメイン]を入力します。
    Fortanix DSMでキーを設定する

  • キー提供元として[Futurex CryptoHub]を選択した場合、[APIキー]、[キーID]、[ドメイン]を入力します。
    Futurex CryptoHubでキーを設定する

  • キー提供元として[Azure]を選択した場合、[クライアントID]、[クライアントシークレット]、[OAuth 2.0トークンエンドポイント(v2)]、[キー識別子URL]を入力します。
    Azure Key Vaultでキーを設定する

  1. 必要な[キャッシュ期間]をドロップダウンリストから選択します。

  2. 追加]をクリックします。


Notes
メモ:特定のサービスにBYOKを設定すると、そのアプリはデフォルトキーから削除されます。該当するBYOKキーが削除されると、アプリはデフォルトキーに再度追加されます。