外部キー管理ツールからのキーの追加

外部キー管理ツールからのキーの追加

お知らせ:当社は、お客様により充実したサポート情報を迅速に提供するため、本ページのコンテンツは機械翻訳を用いて日本語に翻訳しています。正確かつ最新のサポート情報をご覧いただくには、本内容の英語版を参照してください。

概要

BYOKは、ZohoのKEKではなく、お客さま独自のキー暗号化キー(KEK)を使用できる機能です。任意の外部キー管理ツール(EKM)からキーを追加することも、暗号化済みキーを手動でアップロードすることもできます。

外部キー管理ツール内のお客さま独自のKEKへのアクセスを提供する場合、そのKEKは、Zohoが提供するDEKの暗号化または復号に使用されます。これにより、データのセキュリティをお客さま側で管理でき、組織のセキュリティを強化できます。
処理の流れは次のとおりです。

  1. Zoho Oneでキーを設定すると、ZohoのDEKを暗号化するためのリクエストがEKMに送信されます。

  2. EKMから返された暗号化済みDEKは、Zohoの社内KMSに保存されます。

  3. 暗号化済みDEKを復号するには、保存済みの暗号文を使用して復号リクエストがEKMに送信され、平文のDEKが返されます。

  4. 平文のDEKは、お客さまが許可した期間のみキャッシュされます。その後、暗号化/復号リクエストが再度EKMに送信され、同じ処理が繰り返されます。


EKMからキーを追加する手順は、Zoho Oneでサポートされている2つのUIバージョンによって異なります。以下のタブから使用中のUIバージョンを選択し、続く手順に進んでください。

[Spaces UI]
[Unified UI]
[Spaces UI]
キーを追加するには

Notes
外部キー管理ツール(EKM)の外部キーが変更された場合、またはアクセスできない場合、データの暗号化または復号は機能しません。

  1. Zoho Oneにサインインします。次に、右上のアイコンをクリックします。

  2. [セキュリティ]をクリックします。

  3. [BYOK]をクリックし、次に[設定]をクリックします。

    Notesメモ:すでにキーを追加している場合は、右側の[キーを追加]をクリックします。

  1. キーの追加画面で、[キー名]を入力し、アプリケーションを選択し、必要に応じて可用性キーを有効にします。設定済みのキーが利用できない場合のデータ復旧に使用できます。 また、[キー種別]として[外部キー管理ツール]を選択します。


    Notes1つのアプリに適用できるキーは1つのみです。


  1. キーの詳細で、[キープロバイダー]を選択します。

  • [AWS]を選択した場合は、[認証方式]を選択します。

    • [IAM認証情報]:[Client ID]、[Client secret]、[Key ID]、[Domain]を入力します。

    • [IAM Roles Anywhere]:[Key ID]、[Domain]、[Roles Anywhere domain]、[Trust anchor ARN]、[Profile ARN]、[Role ARN]を入力します。次に、[Certificate]と[Private Key]をアップロードします。
      AWS KMSでのキーの設定

  • [キープロバイダー]として[Google KMS]を選択した場合は、
    [Key ring]、[Key name]、[Key version]、[Location]を入力し、JSON形式の[Service account key]をアップロードして、[Raw encrypt]をオンにします。
    Google KMSでのキーの設定


  • キープロバイダーとしてThales CTMを選択した場合、
    ユーザー名、パスワード、キーID、ドメインを入力します。
    Thales CTMでのキーの設定



  • キープロバイダーとしてAzureを選択した場合、クライアントID、クライアントシークレット、OAuth 2.0トークンエンドポイント(v2)、キー識別子URLを入力します。
    Azure Key Vaultでのキーの設定


  • キープロバイダーとしてFuturexを選択した場合、APIキー、キーID、ドメインを入力します。
    Futurexでのキーの設定

  1. ドロップダウンリストから、必要なキャッシュ期間を選択します。

  2. 入力したキー認証情報を検証するには、[キーを確認]をクリックします。

  3. 追加]をクリックします。


Notes
メモ:特定のサービスにBYOKを設定すると、そのアプリはデフォルトキーから削除されます。該当するBYOKキーが削除されると、そのアプリはデフォルトキーに再度追加されます。

 




統合UI
キーを追加するには
Notes
外部キーマネージャー(EKM)の外部キーが変更された場合、またはアクセスできない場合、データの暗号化または復号は機能しません。
  1. Zoho One にサインインし、左メニューの[ディレクトリー]をクリックします。

  2. [セキュリティ]をクリックします。

  3. [BYOK]をクリックし、[設定]をクリックします。

メモ:すでにキーを追加済みの場合は、右側の[キーの追加]をクリックします。



  1. キーの追加画面で、[キー名]を入力し、アプリケーションを選択し、[可用性キー]を、設定済みのキーが利用できない場合のデータ復旧に使用する場合は有効にし、 [キーの種類]として外部キーマネージャーを選択します。

Notes1つのアプリに適用できるキーは1つだけです。

    1. キーの詳細で、[キープロバイダー]を選択します。

    1. AWS を選択した場合は、認証の種類を選択します。
      1. IAM認証情報:クライアントID、クライアントシークレット、キーID、ドメインを入力します。
      2. IAM Roles Anywhere:キーID、ドメイン、Roles Anywhereドメイン、信頼アンカーARN、プロファイルARN、ロールARNを入力します。次に、証明書と秘密鍵をアップロードします。
        AWS KMSでキーを設定する


    2. キープロバイダーとしてGoogle KMSを選択した場合は、
      キーリング、キー名、キーバージョン、ロケーションを入力し、サービスアカウントキーをJSON形式でアップロードして、[Raw暗号化]をオンにします。
      Google KMSでキーを設定する
    3. キープロバイダーとしてThales CTMを選択した場合は、
      ユーザー名、パスワード、キーID、ドメインを入力します。
      Thales CTMでキーを設定する
    4. キープロバイダーとしてFortanix DSMを選択した場合は、
      APIキー、キーID、ドメインを入力します。
      Fortanix DSMでキーを設定する
    5. キープロバイダーとしてAzureを選択した場合は、クライアントID、クライアントシークレット、OAuth 2.0トークンエンドポイント(v2)、キー識別子URLを入力します。
      Azure Key Vaultでキーを設定する

    6. キープロバイダーとしてFuturexを選択した場合は、APIキー、キーID、ドメインを入力します。 
      Futurexでキーを設定する 
    1. ドロップダウンリストから必要な[キャッシュ期間]を選択します。

    2. [キーの確認]をクリックして、入力したキー認証情報を検証します。

    3. [追加]をクリックします。