顧客管理の暗号鍵

このページでは、顧客管理の暗号鍵について説明します。他の暗号化オプションについては、データ暗号化オプションをご覧ください。この機能の使用例については、顧客管理の暗号鍵の使用をご覧ください。

概要

Google で管理する暗号鍵に加えて、Cloud Key Management Service によって生成された鍵を使用することもできます。この鍵は、顧客管理の暗号鍵と呼ばれます。顧客管理の暗号鍵を使用する場合、その鍵は Cloud KMS に保存されます。暗号鍵を保持するプロジェクトをバケットを含むプロジェクトから切り離すことで、職掌分散を適切に実施できます。

鍵がいつ使用されるのか

顧客管理の暗号鍵をオブジェクトに適用すると、Cloud Storage は次のものを暗号化するときに鍵を使用します。

• オブジェクトのデータ
• オブジェクトの CRC32C チェックサム
• オブジェクトの MD5 ハッシュ

Cloud Storage は、オブジェクトの名前など、オブジェクトの残りのメタデータを、標準のサーバー側の鍵を使用して暗号化します。一般的なメタデータの読み取りと更新、オブジェクトの一覧表示と削除で顧客管理の暗号鍵は必要ありません。ただし、こういった操作を実行する場合は、十分な実行権限が必要です。

たとえば、オブジェクトが顧客管理の暗号鍵で暗号化されている場合、オブジェクトのダウンロードや移動などの操作でその暗号鍵を使用する必要があります。鍵を指定せずにオブジェクトのメタデータを読み取ろうとすると、オブジェクト名と Content-Type などのメタデータは受け取りますが、オブジェクトの CRC32C チェックサムや MD5 ハッシュは受け取りません。オブジェクトのメタデータのリクエストに鍵を指定すると、オブジェクトの CRC32C チェックサムと MD5 ハッシュもメタデータに含まれます。

サービス アカウント

顧客管理の暗号鍵による暗号化と復号は、サービス アカウントを使用して実施できます。暗号鍵へのアクセス権をお使いの Cloud Storage サービス アカウントに付与すると、そのサービス アカウントによって以下を暗号化できます。

• その鍵をデフォルト鍵として使用するバケットに追加されたオブジェクト。
• その鍵を使用して暗号化することをユーザーが指示した特定のオブジェクト。

Cloud Storage でオブジェクトを追加したり書き換えたりする際に、バケットにデフォルトの暗号鍵を設定しているだけでなくリクエストにも特定の鍵を含めている場合、Cloud Storage ではオブジェクトの暗号化にその特定の鍵が使用されます。

リクエスト元は、顧客管理の暗号鍵によって暗号化されたオブジェクトを読み取る場合、通常どおりの方法で単純にオブジェクトにアクセスします。このようなリクエストの処理中に、以下の条件が該当すると、リクエストされたオブジェクトがサービス アカウントによって自動的に復号されます。

• サービス アカウントに、その鍵を使用して複合化する権限が引き続き保持されている。
• その鍵を無効化も破棄もしていない。

この条件が 1 つでも満たされない場合、サービス アカウントでデータが復号されず、リクエストは失敗します。

鍵リソース

Cloud KMS 鍵リソースの形式は次のとおりです。

projects/[PROJECT_STORING_KEYS]/locations/[LOCATION]/keyRings/[KEY_RING_NAME]/cryptoKeys/[KEY_NAME]

ここで

• [PROJECT_STORING_KEYS] は、鍵に関連付けられているプロジェクトの ID です。 例: my-pet-project。
• [LOCATION] は、鍵のロケーションです。例: us-east1。
• [KEY_RING_NAME] はキーリングの名前です。例: my-key-ring。
• [KEY_NAME] は鍵の名前です。例: my-key。

制限事項

顧客管理の暗号鍵を使用する場合は次の制限が適用されます。

• Cloud Storage への Cloud SQL のエクスポートと Cloud Dataflow では現在、顧客管理の暗号鍵を使用して暗号化されたオブジェクトをサポートしていません。

• 転送元オブジェクトが顧客管理の暗号鍵で暗号化されている場合や、宛先オブジェクトが顧客管理の暗号鍵によって暗号化されるようになっている場合、JSON API のオブジェクト コピーメソッドは使用できません。代わりにオブジェクト書き換えメソッドを使用してください。

• 1 つ以上のソース オブジェクトが顧客管理の暗号鍵で暗号化されている場合、JSON API の オブジェクト作成メソッドは使用できません。

• オブジェクトのメタデータを更新する方法では、顧客管理の暗号鍵によってオブジェクトを暗号化できません。代わりに、オブジェクトの書き換えの一部としてその暗号鍵を含めてください。

• Cloud KMS 鍵は、暗号化するデータと同じロケーションに作成する必要があります。たとえば、バケットが us-east1 にある場合、そのバケット内のオブジェクトを暗号化する Cloud KMS 鍵も us-east1 で作成する必要があります。指定できる Cloud KMS のロケーションについては、Cloud KMS のロケーションをご覧ください。

• Storage Transfer Service による転送時には顧客管理の暗号鍵は指定できません。転送元オブジェクトで顧客管理の暗号鍵が使用されていても、転送されるオブジェクトにその鍵は適用されません。転送を行う前に、バケットにデフォルトの顧客管理の暗号鍵を設定してください。

顧客指定の暗号鍵との関係

Cloud Storage には、データ暗号化を制御する方法として、顧客管理の暗号鍵のほかに顧客指定の暗号鍵が用意されています。1 つのバケット内のオブジェクトをそれぞれ異なる暗号化方式を使用して暗号化できますが、次の点に注意してください。

• 1 つのオブジェクトの暗号化に使用できる暗号化方式は一度に 1 種類です。

• バケットに対してデフォルトの顧客管理の暗号鍵を設定していて、リクエスト内で顧客指定の暗号鍵を指定した場合、Cloud Storage ではオブジェクトの暗号化に顧客指定の暗号鍵が使用されます。

• バケットに対してデフォルトの顧客管理の暗号鍵の設定はできますが、デフォルトの顧客指定の暗号鍵の設定はできません。