ビュー:
プロファイル適用性: レベル2
Cloud Key Management Service (Cloud KMS) 内で管理されているキーを使用して、ノードのブートディスクを暗号化するために、Customer-Managed Encryption Keys (CMEK) を使用します。
GCEの永続ディスクは、Googleが管理するキーを使用したエンベロープ暗号化によってデフォルトで保存時に暗号化されています。追加の保護として、ユーザはCloud KMSを使用してキー暗号化キーを管理できます。
注意
注意
永続ディスクはデフォルトで保存時に暗号化されていますが、デフォルトでは顧客管理の暗号化キーを使用して暗号化されていません。デフォルトでは、Compute Engine永続ディスクCSIドライバーはクラスター内にプロビジョニングされていません。

影響

動的にプロビジョニングされたアタッチディスクの暗号化には、自己プロビジョニングされたCompute Engine Persistent Disk CSI Driver v0.5.1以上の使用が必要です。
CMEKがリージョナルクラスターで構成されている場合、クラスターはGKE 1.14以上で実行する必要があります。

監査

Google Cloud Consoleを使用する
  1. Kubernetes Engine websiteにアクセスしてください。
  2. 各クラスターをクリックし、任意のノードプールをクリックしてください。
  3. ノードプールの詳細ページで、セキュリティの見出しの下にあるブートディスクの暗号化タイプが、希望するキーを使用したカスタマー管理に設定されていることを確認してください。
コマンドラインを使用:
このコマンドを実行してください:
gcloud container node-pools describe $NODE_POOL --cluster $CLUSTER_NAME 
--zone $COMPUTE_ZONE
上記のコマンドの出力にdiskTypepd-standardpd-balanced、またはpd-ssdのいずれかを含み、bootDiskKmsKeyが希望するキーとして指定されていることを確認してください。

修復

これは既存のクラスターを更新しても修正できません。ノードプールを再作成するか、新しいクラスターを作成する必要があります。
Google Cloud Consoleを使用する
ノードプールを新規作成するには
  1. Kubernetes Engine websiteにアクセスしてください。
  2. ノードブートディスクCMEKが無効になっているKubernetesクラスターを選択してください。
  3. [ADD NODE POOL]をクリックします。
  4. ノードセクションのマシン構成の下で、ブートディスクの種類がStandard persistent diskまたはSSD persistent diskであることを確認してください。
  5. [Enable customer-managed encryption for Boot Disk]を選択し、使用するCloud KMS暗号化キーを選択します。
  6. [作成] をクリックします。
クラスターを新規作成するには
  1. Kubernetes Engine websiteにアクセスしてください。
  2. [作成]をクリックし、必要なクラスター モードのために[CONFIGURE]をクリックします。
  3. NODE POOLSの下で、default-poolリストを展開し、[ノード]をクリックします。
  4. [構成]ノード設定ペインで、[Standard persistent disk]または[SSD Persistent Disk]をブートディスクの種類として選択します。
  5. [Enable customer-managed encryption for Boot Disk]チェックボックスを選択し、使用するCloud KMS暗号化キーを選択してください。
  6. 必要に応じて残りのクラスタ設定を構成してください。
  7. [作成] をクリックします。
コマンドラインを使用:
ノードブートディスクのために顧客管理の暗号化キーを使用して新しいノードプールを作成します。<disk_type>pd-standardまたはpd-ssdのいずれかを選択してください。
gcloud container node-pools create <cluster_name> --disk-type <disk_type> 
--boot-disk-kms-key 
projects/<key_project_id>/locations/<location>/keyRings/<ring_name>
/cryptoKeys/<key_name>
<disk_type>のノードブートディスクに対して、pd-standardまたはpd-ssdのカスタマー管理の暗号化キーを使用してクラスターを作成します。
gcloud container clusters create <cluster_name> --disk-type <disk_type> 
--boot-disk-kms-key 
projects/<key_project_id>/locations/<location>/keyRings/<ring_name>
/cryptoKeys/<key_name>