顧客管理の暗号鍵の使用

このページでは、機能のスタートガイド、バケットでのデフォルトの鍵の使用、個々のオブジェクトへの鍵の追加など、Cloud Storage で Cloud Key Management Service の暗号鍵を使用する方法について説明します。Cloud KMS 暗号鍵は、Cloud KMS によって作成され、ユーザーによって管理される顧客管理の暗号鍵です。利用可能な国など、この機能の詳細については、顧客管理の暗号鍵をご覧ください。Cloud Storage の他の暗号化オプションについては、データ暗号化オプションをご覧ください。

要件

Cloud Storage でこの機能を使用する前に、以下の準備が必要です。

  1. 暗号鍵を格納するプロジェクトの Cloud KMS API を有効にする。

    API の有効化

  2. 暗号鍵を格納するプロジェクトに対して十分な権限を持つ。

    • 鍵が保存されるプロジェクトを所有している場合は、必要な権限があると考えられます。

    • 新しい暗号キーリングと鍵を作成する予定がある場合は、cloudkms.keyRings.createcloudkms.cryptoKey.create の権限が必要です。

    • キーリングと鍵を使用する予定がある場合は、それが新規か既存かを問わず、暗号化に使用する鍵に対する cloudkms.cryptoKey.setIamPolicy 権限が必要です。

      この権限があると、Cloud Storage サービス アカウントに Cloud KMS 鍵へのアクセス権を付与できます。

    • キーリングと鍵を使用する予定がある場合は、それが新規か既存かを問わず、暗号化に使用する鍵に対する roles/cloudkms.admin 権限が必要です。

      この役割を含め、Cloud KMS の役割の取得方法については、IAM と Cloud KMS の使用をご覧ください。

  3. Cloud Storage バケット内のオブジェクトを操作するための十分な権限を持つ。

    • バケットを含むプロジェクトを所有している場合は、必要な権限を持っていると考えられます。

    • IAM を使用する場合は、バケットにオブジェクトを書き込むための storage.objects.create 権限とバケットからオブジェクトを読み取るための storage.objects.get 権限が必要です。これらの権限が含まれる roles/storage.objectAdmin などの役割を取得する方法については、IAM 権限の使用をご覧ください。

    • ACL を使用する場合は、バケットにオブジェクトを書き込むためのバケット範囲の WRITER 権限とバケットからオブジェクトを読み取るためのオブジェクト範囲の READER 権限が必要です。設定方法については、ACL の設定をご覧ください。

  4. Cloud KMS キーリングと、キーリング内に少なくとも 1 つの鍵を持っている。

  5. Cloud Storage バケットを含むプロジェクトに関連付けられているサービス アカウントのメールアドレスを取得する。

サービス アカウントへの Cloud KMS 鍵の割り当て

顧客管理の暗号鍵を使用するには、Cloud Storage サービス アカウントに Cloud KMS 鍵を使用する権限を付与する必要があります。

Console

  1. Google Cloud Platform Console で Cloud Key Management Service 鍵のブラウザを開きます。
    Cloud KMS 鍵のブラウザを開く

  2. 目的の鍵を含むキーリングの名前をクリックします。

  3. 使用する鍵のチェックボックスをオンにします。

    右側のウィンドウの [権限] タブが有効になります。

  4. [メンバーの追加] ダイアログで、アクセス権を付与する Cloud Storage サービス アカウントのメールアドレスを指定します。

  5. [役割を選択] プルダウンで、[クラウド KMS 暗号鍵の暗号化 / 復号] を選択します。

  6. [追加] をクリックします。

gsutil

gsutil kms authorize コマンドを使用して、バケットに関連付けられたサービス アカウントに、Cloud KMS 鍵を使用してオブジェクトを暗号化、復号する権限を付与します。

gsutil kms authorize -p [PROJECT_STORING_OBJECTS] -k [KEY_RESOURCE]

ここで

  • [PROJECT_STORING_OBJECTS] は、暗号化または復号するオブジェクトが含まれているプロジェクトの ID です。例: my-pet-project
  • [KEY_RESOURCE]Cloud KMS 鍵リソースです。例: projects/my-pet-project/locations/us-east1/keyRings/my-key-ring/cryptoKeys/my-key

付与された権限を削除するには、gcloud コマンドライン ツールまたは Google Cloud Platform Console のいずれかを使用する必要があります。

コードサンプル

C#

詳細については、Cloud Storage C# API のリファレンス ドキュメントをご覧ください。 

        public static void AddMemberToCryptoKeyPolicy(string projectId, string locationId,
            string keyRingId, string cryptoKeyId, string role, string member)
        {
            KeyManagementServiceClient client = KeyManagementServiceClient.Create();
            CryptoKeyName cryptoKeyName =
                new CryptoKeyName(projectId, locationId, keyRingId, cryptoKeyId);

            Policy policy = client.GetIamPolicy(KeyNameOneof.From(cryptoKeyName));
            policy.Bindings.Add(new Binding
            {
                Role = role,
                Members = { member }
            });

            Policy updateResult = client.SetIamPolicy(KeyNameOneof.From(cryptoKeyName), policy);

            foreach (Binding bindingResult in updateResult.Bindings)
            {
                Console.WriteLine($"Role: {bindingResult.Role}");
                foreach (string memberResult in bindingResult.Members)
                {
                    Console.WriteLine($"  Member: {memberResult}");
                }
            }
        }

Go

詳細については、Cloud Storage Go API のリファレンス ドキュメントをご覧ください。 

import (
	"context"
	"fmt"
	"io"

	"cloud.google.com/go/iam"
	cloudkms "cloud.google.com/go/kms/apiv1"
	kmspb "google.golang.org/genproto/googleapis/cloud/kms/v1"
)

// addMemberRingPolicy adds a new member to a specified IAM role for the key ring.
func addMemberRingPolicy(w io.Writer, keyRingName, member string, role iam.RoleName) error {
	// keyRingName := "projects/PROJECT_ID/locations/global/keyRings/RING_ID"
	// member := "user@gmail.com"
	// role := iam.Viewer
	ctx := context.Background()
	client, err := cloudkms.NewKeyManagementClient(ctx)
	if err != nil {
		return fmt.Errorf("cloudkms.NewKeyManagementClient: %v", err)
	}

	// Get the KeyRing.
	keyRingObj, err := client.GetKeyRing(ctx, &kmspb.GetKeyRingRequest{Name: keyRingName})
	if err != nil {
		return fmt.Errorf("GetKeyRing: %v", err)
	}
	// Get IAM Policy.
	handle := client.KeyRingIAM(keyRingObj)
	policy, err := handle.Policy(ctx)
	if err != nil {
		return fmt.Errorf("Policy: %v", err)
	}
	// Add Member.
	policy.Add(member, role)
	if err = handle.SetPolicy(ctx, policy); err != nil {
		return fmt.Errorf("SetPolicy: %v", err)
	}
	fmt.Fprintf(w, "Added member %s to keyring policy.", member)
	return nil
}

Java

詳細については、Cloud Storage Java API のリファレンス ドキュメントをご覧ください。 


/**
 * Adds the given member to the given key, with the given role.
 *
 * @param projectId The id of the project.
 * @param locationId The location id of the key.
 * @param keyRingId The id of the keyring.
 * @param cryptoKeyId The id of the crypto key.
 * @param member The member to add. Must be in the proper format, eg:
 *
 * allUsers user:$userEmail serviceAccount:$serviceAccountEmail
 *
 * See https://g.co/cloud/kms/docs/reference/rest/v1/Policy#binding for more details.
 * @param role Must be in one of the following formats: roles/[role]
 * organizations/[organizationId]/roles/[role] projects/[projectId]/roles/[role]
 *
 * See https://g.co/cloud/iam/docs/understanding-roles for available values for [role].
 */
public static Policy addMemberToCryptoKeyPolicy(
    String projectId, String locationId, String keyRingId, String cryptoKeyId, String member,
    String role)
    throws IOException {

  // Create the Cloud KMS client.
  try (KeyManagementServiceClient client = KeyManagementServiceClient.create()) {

    // The resource name of the cryptoKey version
    String keyName = CryptoKeyName.format(projectId, locationId, keyRingId, cryptoKeyId);

    // Get the current IAM policy
    Policy iamPolicy = client.getIamPolicy(keyName);

    // Create a new binding with the selected role and member
    Binding newBinding = Binding.newBuilder()
        .setRole(role)
        .addMembers(member)
        .build();

    // Create a new IAM policy containing the existing settings plus the new binding.
    Policy newPolicy = Policy.newBuilder()
        .mergeFrom(iamPolicy)
        .addBindings(newBinding)
        .build();

    // Set the new IAM Policy.
    Policy policyResult = client.setIamPolicy(keyName, newPolicy);

    return policyResult;
  }
}

Node.js

詳細については、Cloud Storage Node.js API のリファレンス ドキュメントをご覧ください。 

async function addMemberToCryptoKeyPolicy(
  projectId = 'your-project-id', // Your GCP Project Id
  keyRingId = 'my-key-ring', // Name of the crypto key's key ring
  cryptoKeyId = 'my-key', // Name of the crypto key
  member = 'user:dev@example.com', // Member to add to the crypto key
  role = 'roles/viewer' // Role to give the member
) {
  // Import the library and create a client
  const kms = require('@google-cloud/kms');
  const client = new kms.KeyManagementServiceClient();

  // The location of the crypto key's key ring
  const locationId = 'global';

  // Get the full path to the crypto key
  const resource = client.cryptoKeyPath(
    projectId,
    locationId,
    keyRingId,
    cryptoKeyId
  );

  // Gets the IAM policy of a crypto key
  const [result] = await client.getIamPolicy({resource});
  let policy = Object.assign({bindings: []}, result);
  const index = policy.bindings.findIndex(binding => binding.role === role);

  // Add the role/member combo to the policy
  const members = [];
  const binding = Object.assign({role, members}, policy.bindings[index]);
  if (index === -1) {
    policy.bindings.push(binding);
  }
  if (!binding.members.includes(member)) {
    binding.members.push(member);
  }

  // Adds the member/role combo to the policy of the crypto key
  [policy] = await client.setIamPolicy({resource, policy});
  console.log(
    `${member}/${role} combo added to policy for crypto key ${cryptoKeyId}.`
  );
  if (policy.bindings) {
    policy.bindings.forEach(binding => {
      if (binding.members && binding.members.length) {
        console.log(`${binding.role}:`);
        binding.members.forEach(member => {
          console.log(`  ${member}`);
        });
      }
    });
  } else {
    console.log(`Policy for crypto key ${cryptoKeyId} is empty.`);
  }
}

PHP

詳細については、Cloud Storage PHP API のリファレンス ドキュメントをご覧ください。 

use Google\Cloud\Kms\V1\KeyManagementServiceClient;
use Google\Cloud\Iam\V1\Binding;

/** Uncomment and populate these variables in your code */
// $projectId = 'The Google project ID';
// $locationId = 'The location ID of the crypto key. Can be "global", "us-west1", etc.';
// $keyRingId = 'The KMS key ring ID';
// $cryptoKeyId = 'The KMS key ID';
// $member = 'Must be in the format "user:$userEmail" or "serviceAccount:$serviceAccountEmail"';
// $role = 'Must be in the format "roles/$role", "organizations/$organizationId/roles/$role", or "projects/$projectId/roles/$role"';

$kms = new KeyManagementServiceClient();

// The resource name of the CryptoKey.
$cryptoKeyName = $kms->cryptoKeyName($projectId, $locationId, $keyRingId, $cryptoKeyId);

// Get the current IAM policy and add the new account to it.
$policy = $kms->getIamPolicy($cryptoKeyName);
$bindings = $policy->getBindings();
$bindings[] = new Binding([
    'members' => [$member],
    'role' => $role,
]);
$policy->setBindings($bindings);

// Set the new IAM Policy.
$kms->setIamPolicy($cryptoKeyName, $policy);

printf('Member %s added to policy for cryptoKey %s in keyRing %s' . PHP_EOL, $member, $cryptoKeyId, $keyRingId);

Python

詳細については、Cloud Storage Python API のリファレンス ドキュメントをご覧ください。 

def add_member_to_crypto_key_policy(
        project_id, location_id, key_ring_id, crypto_key_id, member, role):
    """Adds a member with a given role to the Identity and Access Management
    (IAM) policy for a given CryptoKey associated with a KeyRing."""

    from google.cloud import kms_v1

    # Creates an API client for the KMS API.
    client = kms_v1.KeyManagementServiceClient()

    # The resource name of the CryptoKey.
    resource = client.crypto_key_path_path(project_id, location_id,
                                           key_ring_id, crypto_key_id)
    # Get the current IAM policy.
    policy = client.get_iam_policy(resource)

    # Add member
    policy.bindings.add(
        role=role,
        members=[member])

    # Update the IAM Policy.
    client.set_iam_policy(resource, policy)

    # Print results
    print('Member {} added with role {} to policy for CryptoKey {} \
           in KeyRing {}'.format(member, role, crypto_key_id, key_ring_id))

Ruby

詳細については、Cloud Storage Ruby API のリファレンス ドキュメントをご覧ください。 

# project_id  = "Your Google Cloud project ID"
# location_id = "The location of the key ring"
# key_ring_id = "The ID of the key ring"
# member      = "Member to add to the key ring policy"
# role        = "Role assignment for new member"

require "google/cloud/kms/v1"
CloudKMS = Google::Cloud::Kms::V1

# Initialize the client
client = CloudKMS::KeyManagementServiceClient.new

# The key ring to use
key_ring =
  CloudKMS::KeyManagementServiceClient.key_ring_path project_id, location_id, key_ring_id

# Get the current IAM policy
policy = client.get_iam_policy key_ring

# Add new member to current bindings
policy.bindings ||= []
policy.bindings << Google::Iam::V1::Binding.new(members: [member], role: role)

# Update IAM policy
client.set_iam_policy key_ring, policy

puts "Member #{member} added to policy for " +
     "key ring #{key_ring_id}"

REST API

JSON API

  1. OAuth 2.0 Playground から承認アクセス トークンを取得します。固有の OAuth 認証情報を使用するように Playground を構成します。

  2. 次の情報が含まれる .json ファイルを作成します。

    {
  "policy": {
    "bindings": {
      "role": "roles/cloudkms.cryptoKeyEncrypterDecrypter",
      "members": "[SERVICE_ACCOUNT_EMAIL_ADDRESS]"
    },
  }
}

    ここで、[SERVICE_ACCOUNT_EMAIL_ADDRESS] はサービス アカウントに関連付けられたメールアドレスです。例: service-7550275089395@my-pet-project.iam.gserviceaccount.com

  3. cURL を使用して、POST setIamPolicy リクエストで Cloud KMS API を呼び出します。

    curl -X POST --data-binary @[JSON_FILE_NAME].json \
-H "Authorization: Bearer [OAUTH2_TOKEN]" \
-H "Content-Type: application/json" \
"https://cloudkms.googleapis.com/v1/[KEY_RESOURCE]:setIamPolicy"

    ここで

    • [JSON_FILE_NAME] は、ステップ 2 で作成したファイルの名前です。
    • [OAUTH2_TOKEN] は、ステップ 1 で生成したアクセス トークンです。
    • [KEY_RESOURCE]Cloud KMS 鍵リソースです。 例: projects/my-pet-project/locations/us-east1/keyRings/my-key-ring/cryptoKeys/my-key

XML API

XML API を使用して、Cloud KMS をサービス アカウントに割り当てることはできません。gsutil など、他の Cloud Storage ツールを使用してください。

デフォルトの暗号鍵の使用

バケットのデフォルトの鍵の追加または変更

オブジェクトがバケットに書き込まれたときにデフォルトで使用される Cloud KMS 鍵を追加または変更するには:

Console

  1. Google Cloud Platform Console で Cloud Storage ブラウザを開きます。
    Cloud Storage ブラウザを開く

  2. バケットのリストで、目的のバケットをクリックします。

  3. ページ上部の [バケットの編集] をクリックします。

  4. [バケットの編集] ページで、[詳細設定を表示] をクリックして展開します。

  5. 現在、バケットで Cloud KMS 鍵が使用されていない場合は、[お客様が管理する鍵] ラジオボタンをオンにします。

  6. 顧客管理の鍵のプルダウン メニューで、選択可能な鍵のいずれかを選択します。

  7. [保存] をクリックします。

gsutil

gsutil kms encryption コマンドを使用します。

gsutil kms encryption -k [KEY_RESOURCE] gs://[BUCKET_NAME]

ここで

  • [KEY_RESOURCE]Cloud KMS 鍵リソースです。 例: projects/my-pet-project/locations/us-east1/keyRings/my-key-ring/cryptoKeys/my-key
  • [BUCKET_NAME] は、関連するバケットの名前です。例: my-bucket

成功した場合、レスポンスは次のようになります。

Authorized service account [SERVICE_ACCOUNT_NAME] to use key:
[KEY_RESOURCE]

コードサンプル

C++

詳細については、Cloud Storage C++ API のリファレンス ドキュメントをご覧ください。 

namespace gcs = google::cloud::storage;
using ::google::cloud::StatusOr;
[](gcs::Client client, std::string bucket_name, std::string key_name) {
  StatusOr<gcs::BucketMetadata> updated_metadata = client.PatchBucket(
      bucket_name, gcs::BucketMetadataPatchBuilder().SetEncryption(
                       gcs::BucketEncryption{key_name}));

  if (!updated_metadata) {
    throw std::runtime_error(updated_metadata.status().message());
  }

  if (!updated_metadata->has_encryption()) {
    std::cerr << "The change to set the encryption attribute on bucket "
              << updated_metadata->name()
              << " was sucessful, but the encryption is not set."
              << "This is unexpected, maybe a concurrent change?\n";
    return;
  }

  std::cout << "Successfully set default KMS key on bucket  "
            << updated_metadata->name() << " to "
            << updated_metadata->encryption().default_kms_key_name << "."
            << "\nFull metadata: " << *updated_metadata << "\n";
}

C#

詳細については、Cloud Storage C# API のリファレンス ドキュメントをご覧ください。 

private void AddBucketDefaultKmsKey(string bucketName,
    string keyLocation, string kmsKeyRing, string kmsKeyName)
{
    string KeyPrefix = $"projects/{s_projectId}/locations/{keyLocation}";
    string FullKeyringName = $"{KeyPrefix}/keyRings/{kmsKeyRing}";
    string FullKeyName = $"{FullKeyringName}/cryptoKeys/{kmsKeyName}";
    var storage = StorageClient.Create();
    var bucket = storage.GetBucket(bucketName, new GetBucketOptions()
    {
        Projection = Projection.Full
    });
    bucket.Encryption = new Bucket.EncryptionData
    {
        DefaultKmsKeyName = FullKeyName
    };
    var updatedBucket = storage.UpdateBucket(bucket, new UpdateBucketOptions()
    {
        // Avoid race conditions.
        IfMetagenerationMatch = bucket.Metageneration,
    });
}

Go

詳細については、Cloud Storage Go API のリファレンス ドキュメントをご覧ください。 

bucket := c.Bucket(bucketName)
bucketAttrsToUpdate := storage.BucketAttrsToUpdate{
	Encryption: &storage.BucketEncryption{DefaultKMSKeyName: keyName},
}
if _, err := bucket.Update(ctx, bucketAttrsToUpdate); err != nil {
	return err
}

Java

詳細については、Cloud Storage Java API のリファレンス ドキュメントをご覧ください。 

// Instantiate a Google Cloud Storage client
Storage storage = StorageOptions.getDefaultInstance().getService();

// The name of the existing bucket to set a default KMS key for, e.g. "my-bucket"
// String bucketName = "my-bucket"

// The name of the KMS-key to use as a default
// Key names are provided in the following format:
// 'projects/<PROJECT>/locations/<LOCATION>/keyRings/<RING_NAME>/cryptoKeys/<KEY_NAME>'
// String kmsKeyName = ""

BucketInfo bucketInfo =
    BucketInfo.newBuilder(bucketName).setDefaultKmsKeyName(kmsKeyName).build();

Bucket bucket = storage.update(bucketInfo);

System.out.println("Default KMS Key Name: " + bucket.getDefaultKmsKeyName());

Node.js

詳細については、Cloud Storage Node.js API のリファレンス ドキュメントをご覧ください。 

// Imports the Google Cloud client library
const {Storage} = require('@google-cloud/storage');

// Creates a client
const storage = new Storage();

/**
 * TODO(developer): Uncomment the following lines before running the sample.
 */
// const bucketName = 'Name of a bucket, e.g. my-bucket';
// const defaultKmsKeyName = 'KMS key resource id, e.g. my-key';

// Enables a default KMS key for the bucket
await storage.bucket(bucketName).setMetadata({
  encryption: {
    defaultKmsKeyName,
  },
});

console.log(
  `Default KMS key for ${bucketName} was set to ${defaultKmsKeyName}.`
);

PHP

詳細については、Cloud Storage PHP API のリファレンス ドキュメントをご覧ください。 

use Google\Cloud\Storage\StorageClient;

/**
 * Enable a bucket's requesterpays metadata.
 *
 * @param string $projectId Your Google Cloud project ID.
 * @param string $bucketName Name of your Google Cloud Storage bucket.
 * @param string $kmsKeyName KMS key ID to use as the default KMS key.
 *
 * @return void
 */
function enable_default_kms_key($projectId, $bucketName, $kmsKeyName)
{
    $storage = new StorageClient([
        'projectId' => $projectId
    ]);
    $bucket = $storage->bucket($bucketName);
    $bucket->update([
        'encryption' => [
            'defaultKmsKeyName' => $kmsKeyName
        ]
    ]);
    printf('Default KMS key for %s was set to %s' . PHP_EOL,
        $bucketName,
        $bucket->info()['encryption']['defaultKmsKeyName']);
}

Python

詳細については、Cloud Storage Python API のリファレンス ドキュメントをご覧ください。 

"""Sets a bucket's default KMS key."""
storage_client = storage.Client()
bucket = storage_client.get_bucket(bucket_name)
bucket.default_kms_key_name = kms_key_name
bucket.patch()

print('Set default KMS key for bucket {} to {}.'.format(
    bucket.name,
    bucket.default_kms_key_name))

Ruby

詳細については、Cloud Storage Ruby API のリファレンス ドキュメントをご覧ください。 

# project_id      = "Your Google Cloud project ID"
# bucket_name     = "Name of your Google Cloud Storage bucket"
# default_kms_key = "KMS key resource id"

require "google/cloud/storage"

storage = Google::Cloud::Storage.new project_id: project_id
bucket  = storage.bucket bucket_name

bucket.default_kms_key = default_kms_key

puts "Default KMS key for #{bucket.name} was set to #{bucket.default_kms_key}"

REST API

JSON API

  1. OAuth 2.0 Playground から承認アクセス トークンを取得します。固有の OAuth 認証情報を使用するように Playground を構成します。

  2. 次の情報が含まれる .json ファイルを作成します。

    {
  "encryption": {
    "defaultKmsKeyName": "[KEY_RESOURCE]"
  }
}

    ここで、[KEY_RESOURCE]Cloud KMS 鍵リソースです。例: projects/my-pet-project/locations/us-east1/keyRings/my-key-ring/cryptoKeys/my-key

  3. cURL を使用して JSON API を呼び出し、PATCH Bucket リクエストを行います。

    curl -X PATCH --data-binary @[JSON_FILE_NAME].json \
-H "Authorization: Bearer [OAUTH2_TOKEN]" \
-H "Content-Type: application/json" \
"https://www.googleapis.com/storage/v1/b/[BUCKET_NAME]?fields=encryption"

    ここで

    • [JSON_FILE_NAME] は、ステップ 2 で作成したファイルです。
    • [OAUTH2_TOKEN] は、ステップ 1 で生成したアクセス トークンです。
    • [BUCKET_NAME] は、関連するバケットの名前です。例: my-bucket

XML API

  1. OAuth 2.0 Playground から承認アクセス トークンを取得します。固有の OAuth 認証情報を使用するように Playground を構成します。

  2. 次の情報を含む .xml ファイルを作成します。

    <EncryptionConfiguration>
  <DefaultKmsKeyName>[KEY_RESOURCE]</DefaultKmsKeyName>
</EncryptionConfiguration>

    ここで、[KEY_RESOURCE]Cloud KMS 鍵リソースです。例: projects/my-pet-project/locations/us-east1/keyRings/my-key-ring/cryptoKeys/my-key

  3. cURL を使用して、PUT Bucket リクエストと encryption クエリ文字列パラメータを含めた XML API を呼び出します。

    curl -X PUT --data-binary @[XML_FILE_NAME].xml \
-H "Authorization: Bearer [OAUTH2_TOKEN]" \
"https://storage.googleapis.com/[BUCKET_NAME]?encryptionConfig"

    ここで

    • [XML_FILE_NAME] は、ステップ 2 で作成したファイルです。
    • [OAUTH2_TOKEN] は、ステップ 1 で生成したアクセス トークンです。
    • [BUCKET_NAME] は、関連するバケットの名前です。例: my-bucket

バケットのデフォルトの鍵の表示

バケットのデフォルトとして現在設定されている Cloud KMS 鍵を表示するには:

Console

  1. Google Cloud Platform Console で Cloud Storage ブラウザを開きます。
    Cloud Storage ブラウザを開く

  2. バケットのリストで、目的のバケットをクリックします。

  3. バケットの詳細ページで、[概要] タブをクリックします。

  4. バケットの現在のデフォルトの鍵が [暗号鍵] フィールドに表示されます。

gsutil

gsutil kms encryption コマンドを使用します。

gsutil kms encryption gs://[BUCKET_NAME]

ここで、[BUCKET_NAME] は鍵を表示するバケットの名前です。例: my-bucket

成功した場合、レスポンスは次のようになります。

Default encryption key for gs://[BUCKET_NAME]:
[KEY_RESOURCE]

REST API

JSON API

  1. OAuth 2.0 Playground から承認アクセス トークンを取得します。固有の OAuth 認証情報を使用するように Playground を構成します。

  2. cURL を使用して、目的の fields を含む GET Bucket リクエストで JSON API を呼び出します。

    curl -X GET -H "Authorization: Bearer [OAUTH2_TOKEN]" \
"https://www.googleapis.com/storage/v1/b/[BUCKET_NAME]?fields=encryption"

    ここで

    • [OAUTH2_TOKEN] は、ステップ 1 で生成したアクセス トークンです。
    • [BUCKET_NAME] は鍵を表示するバケットの名前です。 例: my-bucket

    次の例のようなレスポンスになります。

    {
  "encryption" : {
     "defaultKmsKeyName": "[KEY_RESOURCE]"
   },
}

XML API

  1. OAuth 2.0 Playground から承認アクセス トークンを取得します。固有の OAuth 認証情報を使用するように Playground を構成します。

  2. cURL を使用して、encryption クエリ パラメータが含まれる GET Bucket リクエストで XML API を呼び出します。

    curl -X GET -H "Authorization: Bearer [OAUTH2_TOKEN]" \
"https://storage.googleapis.com/[BUCKET_NAME]?encryptionConfig"

    ここで

    • [OAUTH2_TOKEN] は、ステップ 1 で生成したアクセス トークンです。
    • [BUCKET_NAME] は鍵を表示するバケットの名前です。 例: my-bucket

    次の例のようなレスポンスになります。

    <EncryptionConfiguration>
  <DefaultKmsKeyName>[KEY_RESOURCE]</DefaultKmsKeyName>
</EncryptionConfiguration>

バケットからのデフォルトの鍵の削除

バケットに設定したデフォルトの Cloud KMS 鍵を削除するには:

Console

  1. Google Cloud Platform Console で Cloud Storage ブラウザを開きます。
    Cloud Storage ブラウザを開く

  2. バケットのリストで、目的のバケットをクリックします。

  3. ページ上部の [バケットの編集] をクリックします。

  4. [バケットの編集] ページで、[詳細設定を表示] をクリックして展開します。

  5. [Google が管理する鍵] ラジオボタンをオンにします。

  6. [保存] をクリックします。

gsutil

gsutil kms encryption コマンドを使用します。

gsutil kms encryption -d gs://[BUCKET_NAME]

ここで、[BUCKET_NAME] は、関連するバケットの名前です。例: my-bucket

成功した場合、レスポンスは次のようになります。

Clearing default encryption key for gs://[BUCKET_NAME]...

REST API

JSON API

  1. OAuth 2.0 Playground から承認アクセス トークンを取得します。固有の OAuth 認証情報を使用するように Playground を構成します。

  2. 次の情報が含まれる .json ファイルを作成します。

    {
  "encryption": {
    "defaultKmsKeyName": null
  }
}

  3. cURL を使用して JSON API を呼び出し、PATCH Bucket リクエストを行います。

    curl -X PATCH --data-binary @[JSON_FILE_NAME].json \
-H "Authorization: Bearer [OAUTH2_TOKEN]" \
-H "Content-Type: application/json" \
"https://www.googleapis.com/storage/v1/b/[BUCKET_NAME]?fields=encryption"

    ここで

    • [JSON_FILE_NAME] は、ステップ 2 で作成したファイルです。
    • [OAUTH2_TOKEN] は、ステップ 1 で生成したアクセス トークンです。
    • [BUCKET_NAME] は、関連するバケットの名前です。例: my-bucket

XML API

  1. OAuth 2.0 Playground から承認アクセス トークンを取得します。固有の OAuth 認証情報を使用するように Playground を構成します。

  2. 次の情報を含む .xml ファイルを作成します。

    <EncryptionConfiguration></EncryptionConfiguration>

  3. cURL を使用して、PUT Bucket リクエストと encryption クエリ文字列パラメータを含めた XML API を呼び出します。

    curl -X PUT --data-binary @[XML_FILE_NAME].xml \
-H "Authorization: Bearer [OAUTH2_TOKEN]" \
"https://storage.googleapis.com/[BUCKET_NAME]?encryptionConfig"

    ここで

    • [XML_FILE_NAME] は、ステップ 2 で作成したファイルです。
    • [OAUTH2_TOKEN] は、ステップ 1 で生成したアクセス トークンです。
    • [BUCKET_NAME] は、関連するバケットの名前です。例: my-bucket

Cloud KMS 鍵を使用したオブジェクトの暗号化

Cloud KMS 鍵を使用してオブジェクトを個々に暗号化できます。これは、バケットに設定したデフォルトの鍵とは異なる鍵を使用する場合や、バケットにデフォルトの鍵が設定されていない場合に便利です。

Console

GCP Console を使用してオブジェクトを個々に暗号化することはできません。 代わりに gsutil かクライアント ライブラリを使用してください。

gsutil

  1. .boto 構成ファイル[GSUtil] セクションに、次のオプションを追加します。

    encryption_key = [KEY_RESOURCE]

    ここで、[KEY_RESOURCE]Cloud KMS 鍵リソースです。例: projects/my-pet-project/locations/us-east1/keyRings/my-key-ring/cryptoKeys/my-key

  2. gsutil cpgsutil rewrite などを使用して、通常どおりにバケットにオブジェクトを書き込みます。

コードサンプル

C++

詳細については、Cloud Storage C++ API のリファレンス ドキュメントをご覧ください。 

namespace gcs = google::cloud::storage;
using ::google::cloud::StatusOr;
[](gcs::Client client, std::string bucket_name, std::string object_name,
   std::string kms_key_name) {
  gcs::ObjectWriteStream stream = client.WriteObject(
      bucket_name, object_name, gcs::KmsKeyName(kms_key_name));

  // Line numbers start at 1.
  for (int lineno = 1; lineno <= 10; ++lineno) {
    stream << lineno << ": placeholder text for CMEK example.\n";
  }

  stream.Close();

  StatusOr<gcs::ObjectMetadata> metadata = std::move(stream).metadata();

  if (!metadata) {
    throw std::runtime_error(metadata.status().message());
  }

  std::cout << "Successfully wrote to object " << metadata->name()
            << " its size is: " << metadata->size()
            << "\nFull metadata: " << *metadata << "\n";
}

C#

詳細については、Cloud Storage C# API のリファレンス ドキュメントをご覧ください。 

        private void UploadEncryptedFileWithKmsKey(string bucketName,
            string keyLocation, string kmsKeyRing, string kmsKeyName,
            string localPath, string objectName = null)
        {
            string KeyPrefix = $"projects/{s_projectId}/locations/{keyLocation}";
            string FullKeyringName = $"{KeyPrefix}/keyRings/{kmsKeyRing}";
            string FullKeyName = $"{FullKeyringName}/cryptoKeys/{kmsKeyName}";

            var storage = StorageClient.Create();
            using (var f = File.OpenRead(localPath))
            {
                objectName = objectName ?? Path.GetFileName(localPath);
                storage.UploadObject(bucketName, objectName, null, f,
                    new UploadObjectOptions()
                    {
                        KmsKeyName = FullKeyName
                    });
                Console.WriteLine($"Uploaded {objectName}.");
            }
        }

Go

詳細については、Cloud Storage Go API のリファレンス ドキュメントをご覧ください。 

obj := client.Bucket(bucket).Object(object)
// Encrypt the object's contents
wc := obj.NewWriter(ctx)
wc.KMSKeyName = keyName
if _, err := wc.Write([]byte("top secret")); err != nil {
	return err
}
if err := wc.Close(); err != nil {
	return err
}

Java

詳細については、Cloud Storage Java API のリファレンス ドキュメントをご覧ください。 

byte[] data = "Hello, World!".getBytes(UTF_8);

// The name of the existing bucket to set a default KMS key for, e.g. "my-bucket"
// String bucketName = "my-bucket"

// The name of the KMS-key to use as a default
// Key names are provided in the following format:
// 'projects/<PROJECT>/locations/<LOCATION>/keyRings/<RING_NAME>/cryptoKeys/<KEY_NAME>'
// String kmsKeyName = ""

BlobId blobId = BlobId.of(bucketName, blobName);
BlobInfo blobInfo = BlobInfo.newBuilder(blobId).setContentType("text/plain").build();
Blob blob = storage.create(blobInfo, data, BlobTargetOption.kmsKeyName(kmsKeyName));

Node.js

詳細については、Cloud Storage Node.js API のリファレンス ドキュメントをご覧ください。 

// Imports the Google Cloud client library
const {Storage} = require('@google-cloud/storage');

// Creates a client
const storage = new Storage();

/**
 * TODO(developer): Uncomment the following lines before running the sample.
 */
// const bucketName = 'Name of a bucket, e.g. my-bucket';
// const filename = 'Local file to upload, e.g. ./local/path/to/file.txt';
// const kmsKeyName = 'KMS key resource id, e.g. my-key';

// Uploads a local file to the bucket with the kms key
await storage.bucket(bucketName).upload(filename, {
  kmsKeyName,
});

console.log(`${filename} uploaded to ${bucketName} using ${kmsKeyName}.`);

PHP

詳細については、Cloud Storage PHP API のリファレンス ドキュメントをご覧ください。 

use Google\Cloud\Storage\StorageClient;

/**
 * Upload a file using KMS encryption.
 *
 * @param string $projectId Your Google Cloud project ID.
 * @param string $bucketName the name of your Google Cloud bucket.
 * @param string $objectName the name of the object.
 * @param string $source the path to the file to upload.
 * @param string $kmsKeyName KMS key ID used to encrypt objects server side.
 *
 * @return Psr\Http\Message\StreamInterface
 */
function upload_with_kms_key($projectId, $bucketName, $objectName, $source, $kmsKeyName)
{
    $storage = new StorageClient([
        'projectId' => $projectId,
    ]);
    $file = fopen($source, 'r');
    $bucket = $storage->bucket($bucketName);
    $object = $bucket->upload($file, [
        'name' => $objectName,
        'destinationKmsKeyName' => $kmsKeyName,
    ]);
    printf('Uploaded %s to gs://%s/%s using encryption key %s' . PHP_EOL,
        basename($source),
        $bucketName,
        $objectName,
        $kmsKeyName);
}

Python

詳細については、Cloud Storage Python API のリファレンス ドキュメントをご覧ください。 

"""Uploads a file to the bucket, encrypting it with the given KMS key."""
storage_client = storage.Client()
bucket = storage_client.get_bucket(bucket_name)
blob = bucket.blob(destination_blob_name, kms_key_name=kms_key_name)
blob.upload_from_filename(source_file_name)

print('File {} uploaded to {} with encryption key {}.'.format(
    source_file_name,
    destination_blob_name,
    kms_key_name))

Ruby

詳細については、Cloud Storage Ruby API のリファレンス ドキュメントをご覧ください。 

# project_id        = "Your Google Cloud project ID"
# bucket_name       = "Your Google Cloud Storage bucket name"
# local_file_path   = "Path to local file to upload"
# storage_file_path = "Path to store the file in Google Cloud Storage"
# kms_key           = "KMS key resource id"

require "google/cloud/storage"

storage = Google::Cloud::Storage.new project_id: project_id

bucket = storage.bucket bucket_name

file = bucket.create_file local_file_path, storage_file_path,
                          kms_key: kms_key

puts "Uploaded #{file.name} and encrypted service side using #{file.kms_key}"

REST API

JSON API

  1. OAuth 2.0 Playground から承認アクセス トークンを取得します。固有の OAuth 認証情報を使用するように Playground を構成します。

  2. オブジェクトのデータをリクエストの本文に追加します。

  3. cURL を使用して、POST Object リクエストで JSON API を呼び出します。

    curl -X POST --data-binary @[OBJECT] \
-H "Authorization: Bearer [OAUTH2_TOKEN]" \
-H "Content-Type: [OBJECT_CONTENT_TYPE]" \
"https://www.googleapis.com/upload/storage/v1/b/[BUCKET_NAME]/o?uploadType=media&name=[OBJECT_NAME]&kmsKeyName=[KEY_RESOURCE]"

    ここで

    • [OBJECT] は、アップロードするオブジェクトへのパスです。例: Desktop/dog.png
    • [OAUTH2_TOKEN] は、ステップ 1 で生成したアクセス トークンです。
    • [OBJECT_CONTENT_TYPE] は、オブジェクトのコンテンツ タイプです。例: image/png
    • [BUCKET_NAME] は、オブジェクトをアップロードするバケットの名前です。例: my-bucket
    • [OBJECT_NAME] は、アップロードするオブジェクトの名前です。例: pets/dog.png
    • [KEY_RESOURCE]Cloud KMS 鍵リソースです。 例: projects/my-pet-project/locations/us-east1/keyRings/my-key-ring/cryptoKeys/my-key

XML API

  1. OAuth 2.0 Playground から承認アクセス トークンを取得します。固有の OAuth 認証情報を使用するように Playground を構成します。

  2. オブジェクトのデータをリクエストの本文に追加します。

  3. cURL を使用して、PUT Object リクエストで XML API を呼び出します。

    curl -X PUT --data-binary @[OBJECT] \
-H "Authorization: Bearer [OAUTH2_TOKEN]" \
-H "Content-Type: [OBJECT_CONTENT_TYPE]" \
-H "x-goog-encryption-kms-key-name: [KEY_RESOURCE]" \
"https://storage.googleapis.com/[BUCKET_NAME]/[OBJECT_NAME]"

    ここで

    • [OBJECT] は、アップロードするオブジェクトへのパスです。例: Desktop/dog.png
    • [OAUTH2_TOKEN] は、ステップ 1 で生成したアクセス トークンです。
    • [OBJECT_CONTENT_TYPE] は、オブジェクトのコンテンツ タイプです。例: image/png
    • [BUCKET_NAME] は、オブジェクトをアップロードするバケットの名前です。例: my-bucket
    • [OBJECT_NAME] は、アップロードするオブジェクトの名前です。例: pets/dog.png
    • [KEY_RESOURCE]Cloud KMS 鍵リソースです。 例: projects/my-pet-project/locations/us-east1/keyRings/my-key-ring/cryptoKeys/my-key

オブジェクトを暗号化するために使用される鍵の特定

オブジェクトの暗号化に使用された Cloud KMS 鍵の名前を確認するには:

Console

  1. Google Cloud Platform Console で Cloud Storage ブラウザを開きます。
    Cloud Storage ブラウザを開く

  2. 対象のバケットで、鍵を確認するオブジェクトに移動します。

  3. [暗号化] 列でそのオブジェクトのエントリにカーソルを合わせます。

    鍵名の形式は次のとおりです。

    [LOCATION]/[KEY_RING_NAME]/[KEY_NAME]/[KEY_VERSION]

gsutil

gsutil stat コマンドを使用します。

gsutil stat gs://[BUCKET_NAME]/[OBJECT_NAME]

ここで

  • [BUCKET_NAME] は、暗号化されたオブジェクトが格納されているバケットの名前です。例: my-bucket
  • [OBJECT_NAME] は暗号化されたオブジェクトの名前です。例: pets/dog.png

成功した場合、レスポンスに鍵の名前が含まれます。

gs://[BUCKET_NAME]/[OBJECT_NAME]:
...
KMS key: [KEY_RESOURCE]
...

REST API

JSON API

  1. OAuth 2.0 Playground から承認アクセス トークンを取得します。固有の OAuth 認証情報を使用するように Playground を構成します。

  2. cURL を使用して、GET Object リクエストで JSON API を呼び出します。

    curl -X GET \
-H "Authorization: Bearer [OAUTH2_TOKEN]" \
"https://www.googleapis.com/storage/v1/b/[BUCKET_NAME]/o/[OBJECT_NAME]?fields=kmsKeyName"

    ここで

    • [OAUTH2_TOKEN] は、ステップ 1 で生成したアクセス トークンです。
    • [BUCKET_NAME] は、暗号化されたオブジェクトが格納されているバケットの名前です。例: my-bucket
    • [OBJECT_NAME] は暗号化されたオブジェクトの名前です。例: pets/dog.png

XML API

  1. OAuth 2.0 Playground から承認アクセス トークンを取得します。固有の OAuth 認証情報を使用するように Playground を構成します。

  2. cURL を使用して、GET Object リクエストで XML API を呼び出します。

    curl -X GET \
-H "Authorization: Bearer [OAUTH2_TOKEN]" \
"https://storage.googleapis.com/[BUCKET_NAME]/[OBJECT_NAME]?encryption"

    ここで

    • [OAUTH2_TOKEN] は、ステップ 1 で生成したアクセス トークンです。
    • [BUCKET_NAME] は、暗号化されたオブジェクトが格納されているバケットの名前です。例: my-bucket
    • [OBJECT_NAME] は暗号化されたオブジェクトの名前です。例: pets/dog.png

オブジェクトの復号

顧客管理の暗号鍵で暗号化されたオブジェクトの復号は、関連するサービス アカウントがその鍵にアクセスできる限り、自動的に実行されます。詳細については、顧客管理の暗号鍵を使用したサービス アカウントをご覧ください。

次のステップ