外部キー管理ツールからのキー追加
概要
Bring Your Own Key(BYOK)は、ZohoのKEKの代わりに独自のキー暗号化キー(KEK)を使用できる機能です。任意の外部キー管理ツール(EKM)からキーを追加するか、暗号化されたキーを手動でアップロードできます。
独自のKEKへのアクセスを外部キー管理ツールから提供することを選択した場合、そのKEKはZohoが提供するDEKの暗号化または復号化に使用されます。これにより、データセキュリティをお客様の管理下に維持でき、組織のセキュリティが強化されます。
処理の流れは次のとおりです。
-
Zoho Directoryでキーを設定すると、ZohoはDEKの暗号化を依頼する要求をEKMに送信します。
-
EKMから返された暗号化済みDEKは、Zohoの社内KMSに保存されます。
-
暗号化済みDEKを復号化するため、Zohoは保存されている暗号文を使用して復号化要求をEKMに送信し、平文DEKを受け取ります。
-
平文DEKはお客様が許可した期間だけキャッシュされ、その後、Zohoは暗号化/復号化要求を再度EKMに送信して、処理全体を繰り返します。
キーの追加
-
Zoho Directory
にサインインします。
-
[管理画面]をクリックし、次に[セキュリティ]をクリックします。
-
[BYOK]をクリックし、次に[設定]をクリックします。
メモ:すでにキーを追加している場合は、右側の[キーを追加]をクリックします。
-
[キーの追加]画面で、[キー名]を入力し、[アプリケーション]を選択して、 [キーの種類]で[外部キー管理ツール]を選択します。
メモ:[キー名]は、利用可能なすべてのアプリを選択した場合は編集できません。1つのアプリに適用できるキーは1つのみで、すでに割り当て済みのアプリは[利用可能なアプリケーション]に表示されません。
-
[キーの詳細]で、キーのプロバイダーに関する必要な情報を入力します。
-
キーのプロバイダーとして AWS を選択した場合、
クライアントID、クライアントシークレット、キーID、リージョンを入力します。
AWSでのキーの設定 -
キーのプロバイダーとして Google KMS を選択した場合、
キーリング、キーリング名、キーのバージョン、ロケーションを入力し、サービスアカウントキーをJSON形式でアップロードして、[Raw encrypt]をオンにします。
Google KMSでのキーの設定 -
キーのプロバイダーとして Thales CTM を選択した場合、
ユーザー名、パスワード、キーID、ドメインを入力します。
Thales CTMでのキーの設定 -
キーのプロバイダーとして Fortanix DSM を選択した場合、
APIキー、キーID、ドメインを入力します。
Fortanix DSMでのキーの設定 -
キーのプロバイダーとして Futurex CryptoHub を選択した場合、APIキー、キーID、ドメインを入力します。
Futurex CryptoHubでのキーの設定 -
キーのプロバイダーとして Azure を選択した場合、クライアントID、クライアントシークレット、OAuth 2.0トークンエンドポイント(v2)、キー識別子URLを入力します。
-
ドロップダウンリストから、必要なキャッシュ期間を選択します。
-
[追加]をクリックします。