PCSE#3(data-protection)
オンプレミスで管理する鍵を Google Cloud のサービスで利用しつつ、鍵素材を Google に渡したくありません。最適な方式はどれですか。
正解:A
正解の根拠
Cloud EKM は Google Cloud 外部の鍵管理システムで保持された鍵を、Google Cloud のサービスから参照して暗号化に利用できるサービスです。鍵素材は外部 KMS に常駐し、Google に渡されません。
| 方式 | 鍵の所在 |
|---|---|
| EKM | 外部 KMS |
| HSM | Google の HSM |
| CSEK | リクエスト毎に提供 |
不正解の理由
- A は Google が管理する HSM 内に鍵が存在します
- B はリクエスト毎に鍵をアップロードする方式で外部 KMS 連携ではありません
- D はインポートで鍵素材が Google KMS に渡ります
参考:Cloud EKM
コメント