1. はじめに
概要
Cloud Functions は軽量なコンピューティング ソリューションであり、デベロッパーはサーバーやランタイム環境を管理することなく、Cloud イベントに応答する単一目的のスタンドアロン関数を作成できます。
Cloud Key Management Service 顧客管理の暗号鍵(CMEK)を使用すると、Cloud Functions と関連する保存データを保護できます。CMEK を使用して関数をデプロイすると、完全に制御可能な暗号鍵を使用して、関連するデータを保護します。このタイプの暗号化を行うことで、金融サービスなどの特定の業界のコンプライアンス要件を満たすことができます。鍵はユーザーが所有するもので、Google によって管理されません。鍵が無効化または破棄されると、これらの鍵で保護されたデータに誰もアクセスできなくなります。
Cloud Functions の場合、CMEK は次のものを暗号化します。
- デプロイ用に Google によってアップロードされ Cloud Storage に保存され、ビルドプロセスで使用される関数のソースコード。
- 関数のビルドプロセスの結果。関数のソースコードからビルドされたコンテナ イメージ、デプロイされた関数の各インスタンスが含まれます。
- 内部イベント トランスポート チャネルの保存データ(第 1 世代のみ)。
暗号化されるデータの詳細については、Cloud Functions CMEK のドキュメントをご覧ください。
作成するアプリの概要
この Codelab では、CMEK で暗号化された Cloud Functions の関数(第 1 世代または第 2 世代)をデプロイする方法について説明します。この Codelab では、デモ用に一般公開されている Cloud Functions 関数(認証を必要としない関数)を使用します。認証済みの CMEK 対応関数は、認証が必要な他の Cloud Functions 関数と同様に呼び出すことができます。
学習内容
- 既存の対称鍵リングに CMEK 鍵を作成する方法
- Artifact Registry リポジトリを作成する方法
- 第 1 世代と第 2 世代の両方の Cloud Functions で CMEK を構成する方法
2. 設定と要件
前提条件
- Cloud コンソールにログインしています
- 以前に HTTP トリガーの Cloud Functions 関数をデプロイしている(適切なロールと API が有効になっていることを確認するため)
Cloud Shell をアクティブにする
- Cloud Console で、[Cloud Shell をアクティブにする]
をクリックします。
Cloud Shell を初めて起動する場合、その内容を説明する中間画面が表示されます。中間画面が表示された場合は、[続行] をクリックします。
Cloud Shell のプロビジョニングと接続に少し時間がかかる程度です。
この仮想マシンには、必要な開発ツールがすべて用意されています。5 GB の永続的なホーム ディレクトリが用意されており、Google Cloud で稼働するため、ネットワークのパフォーマンスと認証が大幅に向上しています。この Codelab での作業のほとんどは、ブラウザから実行できます。
Cloud Shell に接続すると、認証が完了し、プロジェクトが各自のプロジェクト ID に設定されていることがわかります。
- Cloud Shell で次のコマンドを実行して、認証されたことを確認します。
gcloud auth list
コマンド出力
Credentialed Accounts
ACTIVE ACCOUNT
* <my_account>@<my_domain.com>
To set the active account, run:
$ gcloud config set account `ACCOUNT`
- Cloud Shell で次のコマンドを実行して、gcloud コマンドがプロジェクトを認識していることを確認します。
gcloud config list project
コマンド出力
[core] project = <PROJECT_ID>
上記のようになっていない場合は、次のコマンドで設定できます。
gcloud config set project <PROJECT_ID>
コマンド出力
Updated property [core/project].
3. Cloud Functions 用に新しいキーリングと鍵を作成する
次のコマンドを実行して、Cloud KMS API が有効になっていることを確認します。
gcloud services enable cloudkms.googleapis.com
まず、キーリング名、鍵名、リージョン、この Codelab で使用するその他の変数を格納する環境変数を作成します。
KEYRING_NAME="keyring-functions" REGION="us-central1" KEY_NAME="key-encrypted-function" PROJECT_ID=$(gcloud config get-value project) PROJECT_NUMBER="$(gcloud projects describe $PROJECT_ID --format='value(projectNumber)')" USER_EMAIL="$(gcloud config list account --format "value(core.account)")"
次に、Cloud KMS 鍵と鍵バージョンのルートリソースであるキーリングを作成します。
gcloud kms keyrings create $KEYRING_NAME --location $REGION
最後に、Cloud KMS 内の新しいキーリングに対称鍵を作成できます。
gcloud kms keys create $KEY_NAME --keyring $KEYRING_NAME --location $REGION --purpose "encryption"
4. CMEK 対応の Docker 形式の Artifact Registry リポジトリを作成する
このセクションでは、CMEK が有効になっている Artifact Registry に Docker 形式のリポジトリを作成します。この鍵は、Cloud Functions の関数をデプロイするときに使用した鍵と同じです。
まず、Artifact Registry のサービス アカウントが必要です。次のコマンドを実行して作成できます。
gcloud beta services identity create --service=artifactregistry.googleapis.com --project=$PROJECT_ID
次のコマンドを使用して、Artifact Registry サービス アカウントに CryptoKey 暗号鍵の暗号化/復号の IAM ロール(roles/cloudkms.cryptoKeyEncrypterDecrypter)を付与し、鍵に対する権限を付与します。
gcloud kms keys add-iam-policy-binding \ $KEY_NAME --location $REGION --keyring=$KEYRING_NAME \ --member serviceAccount:service-$PROJECT_NUMBER@gcp-sa-artifactregistry.iam.gserviceaccount.com \ --role roles/cloudkms.cryptoKeyEncrypterDecrypter
また、Artifact Registry にリポジトリを作成するプリンシパル(現在の有効なアカウントなど)にロールを付与します。gcloud auth list を実行すると、現在アクティブなアカウントを確認できます。
gcloud kms keys add-iam-policy-binding \
$KEY_NAME --location $REGION --keyring=$KEYRING_NAME \
--member user:$USER_EMAIL \
--role roles/cloudkms.cryptoKeyEncrypterDecrypter
これで、CMEK 対応の Docker 形式のリポジトリを作成できるようになりました。
注: リージョンは CMEK 鍵と同じリージョンにする必要があります。
REPO_NAME=my-cmek-encrypted-repo
KEY_FULLPATH=projects/"$PROJECT_ID"/locations/"$REGION"/keyRings/"$KEYRING_NAME"/cryptoKeys/"$KEY_NAME"
gcloud artifacts repositories create $REPO_NAME \
--repository-format=docker \
--location=$REGION \
--kms-key=$KEY_FULLPATH \
--async
次のコマンドを実行すると、新しい Artifact Registry リポジトリを確認できます。
gcloud artifacts repositories describe $REPO_NAME --location=$REGION
5. サービス アカウントに鍵へのアクセス権を付与する(第 2 世代)
このセクションでは、第 2 世代の関数のサービス アカウントの作成について説明します。第 1 世代の関数を作成する場合は、次のセクションに進みます。
CryptoKey Encrypter/Decrypter IAM ロール(roles/cloudkms.cryptoKeyEncrypterDecrypter)を付与して、複数のサービス エージェントに鍵へのアクセス権を付与する必要があります。これらのサービス エージェントは、Cloud Storage に保存されているソースコードへのアクセス権の取得、Artifact Registry の CMEK で保護されたリポジトリへの関数イメージの保存、CMEK で暗号化された Cloud Functions のデプロイに使用されます。
第 2 世代の関数の手順
- Cloud Run サービス エージェントに鍵へのアクセス権を付与します。
CLOUDRUN_SA=service-$PROJECT_NUMBER@serverless-robot-prod.iam.gserviceaccount.com gcloud kms keys add-iam-policy-binding $KEY_NAME \ --keyring=$KEYRING_NAME \ --location=$REGION \ --member=serviceAccount:$CLOUDRUN_SA \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
- Eventarc サービス エージェントに鍵へのアクセス権を付与します。
EVENTARC_SA=service-$PROJECT_NUMBER@gcp-sa-eventarc.iam.gserviceaccount.com gcloud kms keys add-iam-policy-binding $KEY_NAME \ --keyring=$KEYRING_NAME \ --location=$REGION \ --member=serviceAccount:$EVENTARC_SA \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
- Artifact Registry サービス エージェントに鍵へのアクセス権を付与します。
AR_SA=service-$PROJECT_NUMBER@gcp-sa-artifactregistry.iam.gserviceaccount.com gcloud kms keys add-iam-policy-binding $KEY_NAME \ --keyring=$KEYRING_NAME \ --location=$REGION \ --member=serviceAccount:$AR_SA \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
- Cloud Storage サービス エージェントに鍵へのアクセス権を付与します。
STORAGE_SA=service-$PROJECT_NUMBER@gs-project-accounts.iam.gserviceaccount.com gcloud kms keys add-iam-policy-binding $KEY_NAME \ --keyring=$KEYRING_NAME \ --location=$REGION \ --member=serviceAccount:$STORAGE_SA \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
次のセクションでは、CMEK で暗号化された関数を作成してデプロイする方法について説明します。
6. サービス アカウントに鍵へのアクセス権を付与する(第 1 世代)
このセクションでは、第 1 世代の関数のサービス アカウントの作成について説明します。以前に第 2 世代の関数のサービス アカウントを作成している場合は、次のセクションに進みます。
CryptoKey Encrypter/Decrypter IAM ロール(roles/cloudkms.cryptoKeyEncrypterDecrypter)を付与して、複数のサービス エージェントに鍵へのアクセス権を付与する必要があります。これらのサービス エージェントは、Cloud Storage に保存されているソースコードへのアクセス権を取得し、Artifact Registry の CMEK で保護されたリポジトリに関数イメージを保存し、CMEK で暗号化された Cloud Functions の関数をデプロイするために使用されます。
第 1 世代の関数の手順
- Cloud Functions サービス エージェントに鍵へのアクセス権を付与します。
FUNCTION_SA=service-$PROJECT_NUMBER@gcf-admin-robot.iam.gserviceaccount.com gcloud kms keys add-iam-policy-binding $KEY_NAME \ --keyring=$KEYRING_NAME \ --location=$REGION \ --member=serviceAccount:$FUNCTION_SA \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
- Artifact Registry サービス エージェントに鍵へのアクセス権を付与します。
AR_SA=service-$PROJECT_NUMBER@gcp-sa-artifactregistry.iam.gserviceaccount.com gcloud kms keys add-iam-policy-binding $KEY_NAME \ --keyring=$KEYRING_NAME \ --location=$REGION \ --member=serviceAccount:$AR_SA \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
- Cloud Storage サービス エージェントに鍵へのアクセス権を付与します。
STORAGE_SA=service-$PROJECT_NUMBER@gs-project-accounts.iam.gserviceaccount.com gcloud kms keys add-iam-policy-binding $KEY_NAME \ --keyring=$KEYRING_NAME \ --location=$REGION \ --member=serviceAccount:$STORAGE_SA \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
次のセクションでは、CMEK で暗号化された関数を作成してデプロイする方法について説明します。
7. CMEK で暗号化された関数(第 2 世代)を作成する
このセクションでは、第 2 世代の関数を作成する方法について説明します。第 1 世代の手順については、次のセクションに進んでください。
CMEK を有効にして Artifact Registry リポジトリを構成し、Cloud Functions に鍵へのアクセス権を付与したので、CMEK 鍵を使用して暗号化された関数をデプロイできます。
第 2 世代の関数の手順:
関数のソースコードを作成する
この Codelab では Node.js を使用しますが、サポートされているランタイムであればどれでも使用できます。
まず、ディレクトリを作成し、そのディレクトリに移動します。
mkdir ~/cmek-function-2ndgen && cd $_
次に、package.json ファイルを作成します。
touch package.json
echo '{
"dependencies": {
"@google-cloud/functions-framework": "^2.1.0"
}
}
' > package.json
次に、index.js ソースファイルを作成します。
touch index.js
echo 'const functions = require("@google-cloud/functions-framework");
functions.http("helloWorld", (req, res) => {
res.send(`Hello ${req.query.name || req.body.name || "World"}!`);
});' > index.js
CMEK 暗号化を使用して第 2 世代の Cloud Functions の関数をデプロイする
注: 次の例は、現在のディレクトリのソースを使用して関数をデプロイする方法を示しています。関数のソースコードと同じディレクトリにいることを確認します。
FUNCTION_NAME=protect-me-cmek-2ndgen ENTRY_POINT=helloWorld REPO_FULLPATH=projects/"$PROJECT_ID"/locations/"$REGION"/repositories/$REPO_NAME gcloud beta functions deploy $FUNCTION_NAME \ --gen2 \ --region $REGION \ --kms-key $KEY_FULLPATH \ --docker-repository $REPO_FULLPATH \ --source . \ --trigger-http \ --allow-unauthenticated \ --runtime nodejs16 \ --entry-point $ENTRY_POINT
次のコマンドを実行すると、結果の出力から CMEK 鍵を確認できます。
gcloud 関数 describe $FUNCTION_NAME –region $REGION | grep kmsKeyName
第 2 世代の関数をテストする
関数をテストするには、curl を実行します。
FUNCTION_URL="$(gcloud functions describe $FUNCTION_NAME --region $REGION --format='get(serviceConfig.uri)')" curl $FUNCTION_URL
結果は次のようになります。
Hello World!
暗号鍵が有効である限り、関数は呼び出し元に成功を返します。ただし、暗号鍵が無効になると、呼び出し元にエラーが返されます。
次のセクションでは、鍵が無効になった後に関数を呼び出すとどうなるかを確認します。
8. CMEK で暗号化された関数(第 1 世代)を作成する
このセクションでは、第 1 世代の関数を作成する方法について説明します。以前に第 2 世代の関数を作成している場合は、次のセクションに進んでください。
CMEK を有効にして Artifact Registry リポジトリを構成し、Cloud Functions に鍵へのアクセス権を付与したので、CMEK 鍵を使用して暗号化された関数をデプロイできます。
第 1 世代の関数の手順:
第 1 世代の関数のソースコードを作成する
この Codelab では Node.js を使用しますが、サポートされているランタイムであればどれでも使用できます。
まず、ディレクトリを作成し、そのディレクトリに移動します。
mkdir ~/cmek-function-1stgen && cd $_
次に、package.json ファイルを作成します。
touch package.json
echo '{
"name": "function-cmek-codelab",
"version": "0.0.1"
}' > package.json
次に、index.js ソースファイルを作成します。
touch index.js
echo "exports.helloWorld = (req, res) => {
let message = req.query.message || req.body.message || 'Hello World!';
res.status(200).send(message);
};" > index.js
CMEK 暗号化を使用して第 1 世代の Cloud Functions の関数をデプロイする
注: 次の例は、現在のディレクトリのソースを使用して関数をデプロイする方法を示しています。関数のソースコードと同じディレクトリにいることを確認します。
FUNCTION_NAME=protect-me-cmek-1stgen ENTRY_POINT=helloWorld REPO_FULLPATH=projects/"$PROJECT_ID"/locations/"$REGION"/repositories/$REPO_NAME gcloud functions deploy $FUNCTION_NAME \ --region $REGION \ --kms-key $KEY_FULLPATH \ --docker-repository $REPO_FULLPATH \ --source . \ --trigger-http \ --allow-unauthenticated \ --runtime nodejs16 \ --entry-point $ENTRY_POINT
次のコマンドを実行すると、結果の出力から CMEK 鍵を確認できます。
gcloud functions describe $FUNCTION_NAME –region $REGION | grep kmsKeyName
第 1 世代の関数をテストする
関数を curl してテストできます。
FUNCTION_URL="$(gcloud functions describe $FUNCTION_NAME --region $REGION --format='get(httpsTrigger.url)')" curl $FUNCTION_URL
結果は次のようになります。
Hello World!
暗号鍵が有効である限り、関数は呼び出し元に成功を返します。ただし、暗号鍵が無効になると、呼び出し元にエラーが返されます。
次のセクションでは、鍵が無効になった後に関数を呼び出すとどうなるかを確認します。
9. 暗号鍵が無効になっている CMEK で暗号化された関数を呼び出す
この最後のセクションでは、キーを無効にして関数を再度呼び出し、結果として生じるエラーを確認します。
暗号鍵を無効にする
このコマンドを実行すると、鍵を無効にできます。この Codelab では鍵のバージョンを 1 つだけ作成するため、バージョン 1 を無効にします。
gcloud kms keys versions disable 1 \
--key=$KEY_NAME \
--keyring=$KEYRING_NAME \
--location=$REGION
次のような結果が表示されます。
algorithm: GOOGLE_SYMMETRIC_ENCRYPTION createTime: '2023-04-11T03:30:49.111832653Z' generateTime: '2023-04-11T03:30:49.111832653Z' name: projects/dogfood-gcf-saraford/locations/us-central1/keyRings/myKeyRing/cryptoKeys/encrypted-function/cryptoKeyVersions/1 protectionLevel: SOFTWARE state: DISABLED
無効なキーで関数を呼び出す
関数をもう一度 curl します。
curl $FUNCTION_URL
今回は「Hello World」のレスポンスは返されません。
Cloud Functions の関数のログには、次のように表示されます。
User's CMEK key has been disabled. CMEK key: projects/<PROJECT-NAME>/locations/us-central1/keyRings/myKeyRing/cryptoKeys/encrypted-function
CMEK 鍵が無効なときにリソースの表示を試みる
このセクションでは、CMEK 鍵が無効になると次のリソースが利用できなくなります。
- 関数のソースコード
- ソースコードからビルドされたコンテナ イメージ
たとえば、Cloud Functions の関数の [ソース] タブにアクセスすると、アーカイブの取得中にエラーが表示されます。ソースコードを含む .zip ファイルを Cloud Storage で直接表示しようとすると、同様のエラーが発生します。
また、Artifact Registry から関数のコンテナ イメージを使用することもできません。たとえば、そのコンテナ イメージを Cloud Run にデプロイしようとすると、イメージが見つからないというエラーが発生します。
暗号化されたリソースの一覧については、CMEK 関数のドキュメントをご覧ください。
10.完了
お疲れさまでした。これでこの Codelab は終了です。
学習した内容
- 既存の対称鍵リングに CMEK 鍵を作成する方法
- Artifact Registry リポジトリを作成する方法
- Cloud Functions で CMEK を構成する方法
詳細情報
Cloud Functions と CMEK の詳細については、次のリンクをご覧ください。