BYOKは、ZohoのKEKではなく、お客さま独自のキー暗号化キー(KEK)を使用できる機能です。任意の外部キー管理ツール(EKM)からキーを追加することも、暗号化済みキーを手動でアップロードすることもできます。
外部キー管理ツール内のお客さま独自のKEKへのアクセスを提供する場合、そのKEKは、Zohoが提供するDEKの暗号化または復号に使用されます。これにより、データのセキュリティをお客さま側で管理でき、組織のセキュリティを強化できます。
処理の流れは次のとおりです。
Zoho Oneでキーを設定すると、ZohoのDEKを暗号化するためのリクエストがEKMに送信されます。
EKMから返された暗号化済みDEKは、Zohoの社内KMSに保存されます。
暗号化済みDEKを復号するには、保存済みの暗号文を使用して復号リクエストがEKMに送信され、平文のDEKが返されます。
平文のDEKは、お客さまが許可した期間のみキャッシュされます。その後、暗号化/復号リクエストが再度EKMに送信され、同じ処理が繰り返されます。
Zoho Oneにサインインします。次に、右上の
アイコンをクリックします。
[セキュリティ]をクリックします。
メモ:すでにキーを追加している場合は、右側の[キーを追加]をクリックします。
キーの追加画面で、[キー名]を入力し、アプリケーションを選択し、必要に応じて可用性キーを有効にします。設定済みのキーが利用できない場合のデータ復旧に使用できます。 また、[キー種別]として[外部キー管理ツール]を選択します。
1つのアプリに適用できるキーは1つのみです。
キーの詳細で、[キープロバイダー]を選択します。
[AWS]を選択した場合は、[認証方式]を選択します。
[IAM Roles Anywhere]:[Key ID]、[Domain]、[Roles Anywhere domain]、[Trust anchor ARN]、[Profile ARN]、[Role ARN]を入力します。次に、[Certificate]と[Private Key]をアップロードします。
AWS KMSでのキーの設定
[キープロバイダー]として[Google KMS]を選択した場合は、
[Key ring]、[Key name]、[Key version]、[Location]を入力し、JSON形式の[Service account key]をアップロードして、[Raw encrypt]をオンにします。
Google KMSでのキーの設定
キープロバイダーとしてThales CTMを選択した場合、
ユーザー名、パスワード、キーID、ドメインを入力します。
Thales CTMでのキーの設定
キープロバイダーとしてFortanix DSMを選択した場合、
APIキー、キーID、ドメインを入力します。
Fortanix DSMでのキーの設定
キープロバイダーとしてAzureを選択した場合、クライアントID、クライアントシークレット、OAuth 2.0トークンエンドポイント(v2)、キー識別子URLを入力します。
Azure Key Vaultでのキーの設定
キープロバイダーとしてFuturexを選択した場合、APIキー、キーID、ドメインを入力します。
Futurexでのキーの設定
ドロップダウンリストから、必要なキャッシュ期間を選択します。
入力したキー認証情報を検証するには、[キーを確認]をクリックします。
[追加]をクリックします。
Zoho One にサインインし、左メニューの[ディレクトリー]をクリックします。
[セキュリティ]をクリックします。
[BYOK]をクリックし、[設定]をクリックします。
メモ:すでにキーを追加済みの場合は、右側の[キーの追加]をクリックします。
キーの追加画面で、[キー名]を入力し、アプリケーションを選択し、[可用性キー]を、設定済みのキーが利用できない場合のデータ復旧に使用する場合は有効にし、 [キーの種類]として外部キーマネージャーを選択します。
1つのアプリに適用できるキーは1つだけです。
キーの詳細で、[キープロバイダー]を選択します。
ドロップダウンリストから必要な[キャッシュ期間]を選択します。
[キーの確認]をクリックして、入力したキー認証情報を検証します。
[追加]をクリックします。