外部キー管理ツールからのキーの追加

外部キー管理ツールからのキーの追加

お知らせ:当社は、お客様により充実したサポート情報を迅速に提供するため、本ページのコンテンツは機械翻訳を用いて日本語に翻訳しています。正確かつ最新のサポート情報をご覧いただくには、本内容の英語版を参照してください。

概要

Bring Your Own Key(BYOK)は、ZohoのKEKの代わりに独自のキー暗号化キー(KEK)を使用できる機能です。任意の外部キーマネージャー(EKM)からキーを追加するか、暗号化されたキーを手動でアップロードできます。

外部キーマネージャーにある独自のKEKへのアクセスを提供することを選択した場合、そのKEKはZohoが提供するDEKの暗号化または復号に使用されます。これにより、データセキュリティをお客様が管理できるため、組織のセキュリティが強化されます。
処理の流れは次のとおりです。

  1. Zoho Oneでキーを設定すると、Zohoからお客様のEKMにZohoのDEKの暗号化要求を送信します。

  2. EKMから返された暗号化済みDEKは、Zohoの社内KMSに保存されます。

  3. 暗号化済みDEKを復号するには、保存済みの暗号文を使用してお客様のEKMに復号要求を送信し、平文のDEKを受信します。

  4. 平文のDEKはお客様が許可した期間のみキャッシュされ、その後、ZohoはEKMに暗号化/復号要求を再度送信して、一連の処理を繰り返します。
EKMからキーを追加する手順は、Zoho Oneでサポートされている2つのUIバージョンによって異なります。下のタブから使用しているUIバージョンを選択し、以降の手順に進んでください。

Spaces UI
Unified UI
Spaces UI
キーの追加

Notes
外部キーマネージャー(EKM)の外部キーが変更された場合、またはアクセスできない場合、データの暗号化または復号は実行できません。

  1. Zoho One にサインインし、右上のアイコンをクリックします。

  2. セキュリティ]をクリックします。

  3. BYOK]をクリックし、続いて[設定]をクリックします。

    Notesメモ:すでにキーが追加されている場合は、右側の[キーの追加]をクリックします。

  1. キーの追加]画面で、[キー名]を入力し、アプリケーションを選択し、設定済みのキーが利用できない場合のデータ復旧に使用する場合は可用性キーを有効にし キーの種類]で[外部キーマネージャー]を選択します。


    Notes1つのアプリに適用できるキーは1つのみです。


  1. キーの詳細]で、キープロバイダーに関する必要な詳細を入力します。

  • キープロバイダーとして[AWS]を選択した場合は、
    クライアントID、クライアントシークレット、キーID、ドメインを入力します。
    AWS KMSでのキーの設定

  • キープロバイダーとして Google KMS を選択した場合、
    キーリング、キー名、キーバージョン、ロケーションを入力し、サービスアカウントキーをJSON形式でアップロードして、[Raw encrypt]を有効にします。
    Google KMSでのキーの設定


  • キープロバイダーとして Thales CTM を選択した場合、
    ユーザー名、パスワード、キーID、ドメインを入力します。
    Thales CTMでのキーの設定



  • キープロバイダーとして Azure を選択した場合、クライアントID、クライアントシークレット、OAuth 2.0トークンエンドポイント(v2)、キー識別子URLを入力します。


  • キープロバイダーとして Futurex を選択した場合、APIキー、キーID、ドメインを入力します。
    Futurexでのキーの設定

  1. 必要な[キャッシュ期間]をドロップダウンリストから選択します。

  2. 入力したキーの認証情報を検証するには、[キーの確認]をクリックします。

  3. 追加]をクリックします。


Notes
メモ:特定のサービスにBYOKを設定すると、アプリはデフォルトキーから削除されます。該当するBYOKキーが削除されると、アプリはデフォルトキーに再度追加されます。

 




統合UI
キーの追加
Notes
外部キー管理ツール(EKM)の外部キーが変更されたり、アクセスできなかったりすると、データの暗号化または復号化は機能しません。

  1. まず Zoho One にサインインし、左側のメニューで[ディレクトリー]をクリックします。

  2. [セキュリティ]をクリックします。

  3. [BYOK]をクリックしてから、[設定]をクリックします。

メモ:キーがすでに追加されている場合は、右側の[キーの追加]をクリックします。



  1. キーの追加]画面で、[キー名]を入力し、[アプリケーション]を選択し、[可用性キー]を、設定済みのキーを利用できない場合のデータ復元に使用する場合は有効にして、 さらに、[キーの種類]として[外部キー管理ツール]を選択します。
Notes1つのアプリに適用できるキーは1つだけです。

    1. キーの詳細で、キー提供元に関する必要な詳細情報を入力します。

    1. キー提供元として AWSを選択した場合は、
      クライアントID、クライアントシークレット、キーID、ドメインを入力します。
      AWS KMSでのキーの設定
    2. キー提供元として Google KMSを選択した場合は、
      キーリング、キー名、キーのバージョン、ロケーションを入力し、サービスアカウントキーをJSON形式でアップロードして、[Raw encrypt]を有効にします。
      Google KMSでのキーの設定
    4. キー提供元として Thales CTMを選択した場合は、
      ユーザー名、パスワード、キーID、ドメインを入力します。
      Thales CTMでのキーの設定
    5. キー提供元として Fortanix DSMを選択した場合は、
      APIキー、キーID、ドメインを入力します。
      Fortanix DSMでのキーの設定
    7. キー提供元として Azureを選択した場合は、クライアントID、クライアントシークレット、OAuth 2.0トークンエンドポイント(v2)、キー識別子URLを入力します。

    8. キー提供元として Futurexを選択した場合は、APIキー、キーID、ドメインを入力します。 
      Futurexでのキーの設定 

    1. ドロップダウンリストから必要な[キャッシュ期間]を選択します。

    2. 入力したキーの認証情報を検証するには、[キーの確認]をクリックします。

    3. [追加]をクリックします。