顧客指定の暗号鍵の使用

このページでは、顧客指定の暗号鍵という、独自の暗号鍵を Cloud Storage で使用する方法を説明します。利用可能な国など、この機能の詳細については、顧客指定の暗号鍵をご覧ください。Cloud Storage の他の暗号化オプションについては、データ暗号化オプションをご覧ください。

顧客指定の暗号鍵の生成

Base64 エンコードされた AES-256 暗号鍵を生成する方法は数多くあります。たとえば、次のような方法があります。

C++

詳細については、Cloud Storage C++ API のリファレンス ドキュメントをご覧ください。

// Create a pseudo-random number generator (PRNG), this is included for
// demonstration purposes only. You should consult your security team about
// best practices to initialize PRNG. In particular, you should verify that
// the C++ library and operating system provide enough entropy to meet the
// security policies in your organization.

// Use the Mersenne-Twister Engine in this example:
//   https://en.cppreference.com/w/cpp/numeric/random/mersenne_twister_engine
// Any C++ PRNG can be used below, the choice is arbitrary.
using GeneratorType = std::mt19937_64;

// Create the default random device to fetch entropy.
std::random_device rd;

// Compute how much entropy we need to initialize the GeneratorType:
constexpr auto kRequiredEntropyWords =
    GeneratorType::state_size *
    (GeneratorType::word_size / std::numeric_limits<unsigned int>::digits);

// Capture the entropy bits into a vector.
std::vector<unsigned long> entropy(kRequiredEntropyWords);
std::generate(entropy.begin(), entropy.end(), [&rd] { return rd(); });

// Create the PRNG with the fetched entropy.
std::seed_seq seed(entropy.begin(), entropy.end());

// initialized with enough entropy such that the encryption keys are not
// predictable. Note that the default constructor for all the generators in
// the C++ standard library produce predictable keys.
std::mt19937_64 gen(seed);

namespace gcs = google::cloud::storage;
gcs::EncryptionKeyData data = gcs::CreateKeyFromGenerator(gen);

std::cout << "Base64 encoded key = " << data.key << "\n"
          << "Base64 encoded SHA256 of key = " << data.sha256 << "\n";

C#

詳細については、Cloud Storage C# API のリファレンス ドキュメントをご覧ください。

void GenerateEncryptionKey()
{
    Console.Write(EncryptionKey.Generate().Base64Key);
}

Node.js

詳細については、Cloud Storage Node.js API のリファレンス ドキュメントをご覧ください。

const crypto = require('crypto');

/**
 * Generates a 256 bit (32 byte) AES encryption key and prints the base64
 * representation.
 *
 * This is included for demonstration purposes. You should generate your own
 * key. Please remember that encryption keys should be handled with a
 * comprehensive security policy.
 *
 * @returns {string} The encryption key.
 */
function generateEncryptionKey() {
  const buffer = crypto.randomBytes(32);
  const encodedKey = buffer.toString('base64');

  console.log(`Base 64 encoded encryption key: ${encodedKey}`);

  return encodedKey;
}

PHP

詳細については、Cloud Storage PHP API のリファレンス ドキュメントをご覧ください。


/**
 * Generate a base64 encoded encryption key for Google Cloud Storage.
 *
 * @return void
 */
function generate_encryption_key()
{
    $key = random_bytes(32);
    $encodedKey = base64_encode($key);
    printf('Your encryption key: %s' . PHP_EOL, $encodedKey);
}

Python

詳細については、Cloud Storage Python API のリファレンス ドキュメントをご覧ください。

def generate_encryption_key():
    """Generates a 256 bit (32 byte) AES encryption key and prints the
    base64 representation.

    This is included for demonstration purposes. You should generate your own
    key. Please remember that encryption keys should be handled with a
    comprehensive security policy.
    """
    key = os.urandom(32)
    encoded_key = base64.b64encode(key).decode('utf-8')
    print('Base 64 encoded encryption key: {}'.format(encoded_key))

Ruby

詳細については、Cloud Storage Ruby API のリファレンス ドキュメントをご覧ください。

require "base64"
require "openssl"

encryption_key  = OpenSSL::Cipher.new("aes-256-cfb").encrypt.random_key
encoded_enc_key = Base64.encode64 encryption_key

puts "Sample encryption key: #{encoded_enc_key}"

顧客指定の暗号鍵を使用したアップロード

顧客指定の暗号鍵を使用してオブジェクトをアップロードするには:

gsutil

  1. boto 構成ファイル[GSUtil] セクションに、次のオプションを追加します。

    encryption_key = [YOUR_ENCRYPTION_KEY]

    [YOUR_ENCRYPTION_KEY] は、オブジェクトの暗号化に使用する AES-256 暗号鍵です。

  2. gsutil cp コマンドを使用します。

    gsutil cp [LOCAL_OBJECT_LOCATION] gs://[DESTINATION_BUCKET_NAME]/

    ここで

    • [LOCAL_OBJECT_LOCATION] は、アップロードするオブジェクトへのパスです。例: Desktop/dogs.png
    • [DESTINATION_BUCKET_NAME] は、オブジェクトをアップロードする宛先バケットの名前です。例: my-bucket

コードサンプル

C++

詳細については、Cloud Storage C++ API のリファレンス ドキュメントをご覧ください。

namespace gcs = google::cloud::storage;
using ::google::cloud::StatusOr;
[](gcs::Client client, std::string bucket_name, std::string object_name,
   std::string base64_aes256_key) {
  StatusOr<gcs::ObjectMetadata> object_metadata = client.InsertObject(
      bucket_name, object_name, "top secret",
      gcs::EncryptionKey::FromBase64Key(base64_aes256_key));

  if (!object_metadata) {
    throw std::runtime_error(object_metadata.status().message());
  }

  std::cout << "The object " << object_metadata->name()
            << " was created in bucket " << object_metadata->bucket()
            << "\nFull metadata: " << *object_metadata << "\n";
}

C#

詳細については、Cloud Storage C# API のリファレンス ドキュメントをご覧ください。

private void UploadEncryptedFile(string key, string bucketName,
    string localPath, string objectName = null)
{
    var storage = StorageClient.Create();
    using (var f = File.OpenRead(localPath))
    {
        objectName = objectName ?? Path.GetFileName(localPath);
        storage.UploadObject(bucketName, objectName, null, f,
            new UploadObjectOptions()
            {
                EncryptionKey = EncryptionKey.Create(
                Convert.FromBase64String(key))
            });
        Console.WriteLine($"Uploaded {objectName}.");
    }
}

Go

詳細については、Cloud Storage Go API のリファレンス ドキュメントをご覧ください。

obj := client.Bucket(bucket).Object(object)
// Encrypt the object's contents.
wc := obj.Key(secretKey).NewWriter(ctx)
if _, err := wc.Write([]byte("top secret")); err != nil {
	return err
}
if err := wc.Close(); err != nil {
	return err
}

Java

詳細については、Cloud Storage Java API のリファレンス ドキュメントをご覧ください。

byte[] data = "Hello, World!".getBytes(UTF_8);

BlobId blobId = BlobId.of(bucketName, blobName);
BlobInfo blobInfo = BlobInfo.newBuilder(blobId).setContentType("text/plain").build();
Blob blob = storage.create(blobInfo, data, BlobTargetOption.encryptionKey(encryptionKey));

Node.js

詳細については、Cloud Storage Node.js API のリファレンス ドキュメントをご覧ください。

// Imports the Google Cloud client library
const {Storage} = require('@google-cloud/storage');

// Creates a client
const storage = new Storage();

/**
 * TODO(developer): Uncomment the following lines before running the sample.
 */
// const bucketName = 'Name of a bucket, e.g. my-bucket';
// const srcFilename = 'Local file to upload, e.g. ./local/path/to/file.txt';
// const destFilename = 'Remote destination for file, e.g. file_encrypted.txt';

// See the "Generating your own encryption key" section above.
// const key = 'A base64 encoded customer-supplied key';

const options = {
  // The path to which the file should be uploaded, e.g. "file_encrypted.txt"
  destination: destFilename,
  // Encrypt the file with a customer-supplied key.
  // See the "Generating your own encryption key" section above.
  encryptionKey: Buffer.from(key, 'base64'),
};

// Encrypts and uploads a local file, e.g. "./local/path/to/file.txt".
// The file will only be retrievable using the key used to upload it.
await storage.bucket(bucketName).upload(srcFilename, options);

console.log(
  `File ${srcFilename} uploaded to gs://${bucketName}/${destFilename}.`
);

PHP

詳細については、Cloud Storage PHP API のリファレンス ドキュメントをご覧ください。

use Google\Cloud\Storage\StorageClient;

/**
 * Upload an encrypted file.
 *
 * @param string $bucketName the name of your Google Cloud bucket.
 * @param string $objectName the name of your Google Cloud object.
 * @param resource $source the path to the file to upload.
 * @param string $base64EncryptionKey the base64 encoded encryption key.
 *
 * @return void
 */
function upload_encrypted_object($bucketName, $objectName, $source, $base64EncryptionKey)
{
    $storage = new StorageClient();
    $file = fopen($source, 'r');
    $bucket = $storage->bucket($bucketName);
    $object = $bucket->upload($file, [
        'name' => $objectName,
        'encryptionKey' => $base64EncryptionKey,
    ]);
    printf('Uploaded encrypted %s to gs://%s/%s' . PHP_EOL,
        basename($source), $bucketName, $objectName);
}

Python

詳細については、Cloud Storage Python API のリファレンス ドキュメントをご覧ください。

def upload_encrypted_blob(bucket_name, source_file_name,
                          destination_blob_name, base64_encryption_key):
    """Uploads a file to a Google Cloud Storage bucket using a custom
    encryption key.

    The file will be encrypted by Google Cloud Storage and only
    retrievable using the provided encryption key.
    """
    storage_client = storage.Client()
    bucket = storage_client.get_bucket(bucket_name)
    # Encryption key must be an AES256 key represented as a bytestring with
    # 32 bytes. Since it's passed in as a base64 encoded string, it needs
    # to be decoded.
    encryption_key = base64.b64decode(base64_encryption_key)
    blob = Blob(destination_blob_name, bucket, encryption_key=encryption_key)

    blob.upload_from_filename(source_file_name)

    print('File {} uploaded to {}.'.format(
        source_file_name,
        destination_blob_name))

Ruby

詳細については、Cloud Storage Ruby API のリファレンス ドキュメントをご覧ください。

# project_id        = "Your Google Cloud project ID"
# bucket_name       = "Your Google Cloud Storage bucket name"
# local_file_path   = "Path to local file to upload"
# storage_file_path = "Path to store the file in Google Cloud Storage"
# encryption_key    = "AES-256 encryption key"

require "google/cloud/storage"

storage = Google::Cloud::Storage.new project_id: project_id

bucket = storage.bucket bucket_name

file = bucket.create_file local_file_path, storage_file_path,
                          encryption_key: encryption_key

puts "Uploaded #{file.name} with encryption key"

REST API

JSON API

  1. OAuth 2.0 Playground から承認アクセス トークンを取得します。固有の OAuth 認証情報を使用するように Playground を設定します。
  2. cURL を使用して、POST Object リクエストで JSON API を呼び出します。

    curl -X POST --data-binary @[OBJECT] \
      -H "Authorization: Bearer [OAUTH2_TOKEN]" \
      -H "Content-Type: [OBJECT_CONTENT_TYPE]" \
      -H "x-goog-encryption-algorithm: AES256" \
      -H "x-goog-encryption-key: [YOUR_ENCRYPTION_KEY]" \
      -H "x-goog-encryption-key-sha256: [HASH_OF_YOUR_KEY]" \
      "https://www.googleapis.com/upload/storage/v1/b/[BUCKET_NAME]/o?uploadType=media&name=[OBJECT_NAME]"

    ここで

    • [OBJECT] は、アップロードするオブジェクトへのパスです。例: Desktop/dogs.png
    • [OAUTH2_TOKEN] は、手順 1 で生成したアクセス トークンです。
    • [OBJECT_CONTENT_TYPE] は、オブジェクトのコンテンツ タイプです。例: image/png
    • [YOUR_ENCRYPTION_KEY] は、アップロードするオブジェクトの暗号化に使用する AES-256 鍵です。
    • [HASH_OF_YOUR_KEY] は、AES-256 鍵の SHA-256 ハッシュです。
    • [BUCKET_NAME] は、オブジェクトをアップロードする宛先バケットの名前です。例: my-bucket
    • [OBJECT_NAME] は、アップロードするオブジェクトの名前です。例: pets/dogs.png

暗号化に固有のヘッダーに関する詳細については、暗号化リクエストのヘッダーをご覧ください。

XML API

  1. OAuth 2.0 Playground から承認アクセス トークンを取得します。固有の OAuth 認証情報を使用するように Playground を設定します。
  2. cURL を使用して、PUT OBJECT リクエストで XML API を呼び出します。

    curl -X -i PUT --data-binary @[OBJECT] \
      -H "Authorization: Bearer [OAUTH2_TOKEN]" \
      -H "Content-Type: [OBJECT_CONTENT_TYPE]" \
      -H "x-goog-encryption-algorithm: AES256" \
      -H "x-goog-encryption-key: [YOUR_ENCRYPTION_KEY]" \
      -H "x-goog-encryption-key-sha256: [HASH_OF_YOUR_KEY]" \
      "https://storage.googleapis.com/[BUCKET_NAME]/[OBJECT_NAME]"

    ここで

    • [OBJECT] は、アップロードするオブジェクトへのパスです。例: Desktop/dogs.png
    • [OAUTH2_TOKEN] は、手順 1 で生成したアクセス トークンです。
    • [OBJECT_CONTENT_TYPE] は、オブジェクトのコンテンツ タイプです。例: image/png
    • [YOUR_ENCRYPTION_KEY] は、アップロードするオブジェクトの暗号化に使用する AES-256 鍵です。
    • [HASH_OF_YOUR_KEY] は、AES-256 鍵の SHA-256 ハッシュです。
    • [BUCKET_NAME] は、オブジェクトをアップロードする宛先バケットの名前です。例: my-bucket
    • [OBJECT_NAME] は、アップロードするオブジェクトの名前です。例: pets/dogs.png

暗号化に固有のヘッダーに関する詳細については、暗号化リクエストのヘッダーをご覧ください。

暗号化したオブジェクトのダウンロード

顧客指定の暗号鍵で暗号化されているオブジェクトを Cloud Storage からダウンロードするには:

gsutil

  1. boto 構成ファイル[GSUtil] セクションに、次のオプションを追加します。

    decryption_key1 = [YOUR_ENCRYPTION_KEY]

    ここで、[YOUR_ENCRYPTION_KEY] はアップロード時にオブジェクトを暗号化するために使用した鍵です。

  2. gsutil cp コマンドを使用します。

    gsutil cp gs://[BUCKET_NAME]/[OBJECT_NAME] [OBJECT_DESTINATION]

    ここで

    • [BUCKET_NAME] は、ダウンロードするオブジェクトが格納されているバケットの名前です。例: my-bucket
    • [OBJECT_NAME] は、ダウンロードするオブジェクトの名前です。例: pets/dog.png
    • [OBJECT_DESTINATION] は、オブジェクトを保存する場所です。例: Desktop

コードサンプル

C++

詳細については、Cloud Storage C++ API のリファレンス ドキュメントをご覧ください。

namespace gcs = google::cloud::storage;
[](gcs::Client client, std::string bucket_name, std::string object_name,
   std::string base64_aes256_key) {
  gcs::ObjectReadStream stream =
      client.ReadObject(bucket_name, object_name,
                        gcs::EncryptionKey::FromBase64Key(base64_aes256_key));

  std::string data(std::istreambuf_iterator<char>{stream}, {});
  std::cout << "The object contents are: " << data << "\n";
}

C#

詳細については、Cloud Storage C# API のリファレンス ドキュメントをご覧ください。

private void DownloadEncryptedObject(string key, string bucketName,
    string objectName, string localPath = null)
{
    var storage = StorageClient.Create();
    localPath = localPath ?? Path.GetFileName(objectName);
    using (var outputFile = File.OpenWrite(localPath))
    {
        storage.DownloadObject(bucketName, objectName, outputFile,
            new DownloadObjectOptions()
            {
                EncryptionKey = EncryptionKey.Create(
                    Convert.FromBase64String(key))
            });
    }
    Console.WriteLine($"downloaded {objectName} to {localPath}.");
}

Go

詳細については、Cloud Storage Go API のリファレンス ドキュメントをご覧ください。

obj := client.Bucket(bucket).Object(object)
rc, err := obj.Key(secretKey).NewReader(ctx)
if err != nil {
	return nil, err
}
defer rc.Close()

data, err := ioutil.ReadAll(rc)
if err != nil {
	return nil, err
}

Java

詳細については、Cloud Storage Java API のリファレンス ドキュメントをご覧ください。

byte[] content =
    storage.readAllBytes(bucketName, blobName, BlobSourceOption.decryptionKey(decryptionKey));

Node.js

詳細については、Cloud Storage Node.js API のリファレンス ドキュメントをご覧ください。

// Imports the Google Cloud client library
const {Storage} = require('@google-cloud/storage');

// Creates a client
const storage = new Storage();

/**
 * TODO(developer): Uncomment the following lines before running the sample.
 */
// const bucketName = 'Name of a bucket, e.g. my-bucket';
// const srcFilename = 'File to download, e.g. file_encrypted.txt';
// const destFilename = 'Local destination for file, e.g. ./file.txt';

// See the "Generating your own encryption key" section above.
// const key = 'A base64 encoded customer-supplied key';

const options = {
  // The path to which the file should be downloaded, e.g. "./file.txt"
  destination: destFilename,
};

// Descrypts and downloads the file. This can only be done with the key used
// to encrypt and upload the file.
await storage
  .bucket(bucketName)
  .file(srcFilename)
  .setEncryptionKey(Buffer.from(key, 'base64'))
  .download(options);

console.log(`File ${srcFilename} downloaded to ${destFilename}.`);

PHP

詳細については、Cloud Storage PHP API のリファレンス ドキュメントをご覧ください。

use Google\Cloud\Storage\StorageClient;

/**
 * Download an encrypted file
 *
 * @param string $bucketName the name of your Google Cloud bucket.
 * @param string $objectName the name of your Google Cloud object.
 * @param string $destination the local destination to save the encrypted file.
 * @param string $base64EncryptionKey the base64 encoded encryption key.
 *
 * @return void
 */
function download_encrypted_object($bucketName, $objectName, $destination, $base64EncryptionKey)
{
    $storage = new StorageClient();
    $bucket = $storage->bucket($bucketName);
    $object = $bucket->object($objectName);
    $object->downloadToFile($destination, [
        'encryptionKey' => $base64EncryptionKey,
    ]);
    printf('Encrypted object gs://%s/%s downloaded to %s' . PHP_EOL,
        $bucketName, $objectName, basename($destination));
}

Python

詳細については、Cloud Storage Python API のリファレンス ドキュメントをご覧ください。

def download_encrypted_blob(bucket_name, source_blob_name,
                            destination_file_name, base64_encryption_key):
    """Downloads a previously-encrypted blob from Google Cloud Storage.

    The encryption key provided must be the same key provided when uploading
    the blob.
    """
    storage_client = storage.Client()
    bucket = storage_client.get_bucket(bucket_name)
    # Encryption key must be an AES256 key represented as a bytestring with
    # 32 bytes. Since it's passed in as a base64 encoded string, it needs
    # to be decoded.
    encryption_key = base64.b64decode(base64_encryption_key)
    blob = Blob(source_blob_name, bucket, encryption_key=encryption_key)

    blob.download_to_filename(destination_file_name)

    print('Blob {} downloaded to {}.'.format(
        source_blob_name,
        destination_file_name))

Ruby

詳細については、Cloud Storage Ruby API のリファレンス ドキュメントをご覧ください。

# project_id     = "Your Google Cloud project ID"
# bucket_name    = "Your Google Cloud Storage bucket name"
# file_name      = "Name of file in Google Cloud Storage to download locally"
# local_path     = "Destination path for downloaded file"
# encryption_key = "AES-256 encryption key"

require "google/cloud/storage"

storage = Google::Cloud::Storage.new project_id: project_id

bucket = storage.bucket bucket_name

file = bucket.file storage_file_path, encryption_key: encryption_key
file.download local_file_path, encryption_key: encryption_key

puts "Downloaded encrypted #{file.name}"

REST API

JSON API

  1. OAuth 2.0 Playground から承認アクセス トークンを取得します。固有の OAuth 認証情報を使用するように Playground を設定します。
  2. cURL を使用して、GET Object リクエストで JSON API を呼び出します。

    curl -X GET \
      -H "Authorization: Bearer [OAUTH2_TOKEN]" \
      -H "x-goog-encryption-algorithm: AES256" \
      -H "x-goog-encryption-key: [YOUR_ENCRYPTION_KEY]" \
      -H "x-goog-encryption-key-sha256: [HASH_OF_YOUR_KEY]" \
      -o "[SAVE_TO_LOCATION]" \
      "https://www.googleapis.com/storage/v1/b/[BUCKET_NAME]/o/[OBJECT_NAME]?alt=media"

    ここで

    • [OAUTH2_TOKEN] は、手順 1 で生成したアクセス トークンです。
    • [YOUR_ENCRYPTION_KEY] は、オブジェクトの暗号化に使用した AES-256 鍵です。
    • [HASH_OF_YOUR_KEY] は、AES-256 鍵の SHA-256 ハッシュです。
    • [SAVE_TO_LOCATION] は、オブジェクトを保存する場所です。例: Desktop/dog.png
    • [BUCKET_NAME] は、ダウンロードするオブジェクトが格納されているバケットの名前です。例: my-bucket
    • [OBJECT_NAME] は、ダウンロードするオブジェクトの名前です。例: pets/dogs.png

暗号化に固有のヘッダーに関する詳細については、暗号化リクエストのヘッダーをご覧ください。

XML API

  1. OAuth 2.0 Playground から承認アクセス トークンを取得します。固有の OAuth 認証情報を使用するように Playground を設定します。
  2. cURL を使用して、GET OBJECT リクエストで XML API を呼び出します。

    curl -X GET \
      -H "Authorization: Bearer [OAUTH2_TOKEN]" \
      -H "x-goog-encryption-algorithm: AES256" \
      -H "x-goog-encryption-key: [YOUR_ENCRYPTION_KEY]" \
      -H "x-goog-encryption-key-sha256: [HASH_OF_YOUR_KEY]" \
      -o "[SAVE_TO_LOCATION]" \
      "https://storage.googleapis.com/[BUCKET_NAME]/[OBJECT_NAME]"

    ここで

    • [OAUTH2_TOKEN] は、手順 1 で生成したアクセス トークンです。
    • [YOUR_ENCRYPTION_KEY] は、オブジェクトの暗号化に使用した AES-256 鍵です。
    • [HASH_OF_YOUR_KEY] は、AES-256 鍵の SHA-256 ハッシュです。
    • [SAVE_TO_LOCATION] は、オブジェクトを保存する場所です。例: Desktop/dog.png
    • [BUCKET_NAME] は、ダウンロードするオブジェクトが格納されているバケットの名前です。例: my-bucket
    • [OBJECT_NAME] は、ダウンロードするオブジェクトの名前です。例: pets/dogs.png

暗号化に固有のヘッダーに関する詳細については、暗号化リクエストのヘッダーをご覧ください。

暗号鍵のローテーション

顧客指定の暗号鍵をローテーションするには:

gsutil

  1. boto 構成ファイル[GSUtil] セクションに、次のオプションを追加します。

    encryption_key = [NEW_ENCRYPTION_KEY]
    decryption_key1 = [OLD_ENCRYPTION_KEY]

    ここで

    • [NEW_ENCRYPTION_KEY] は、オブジェクトの新しい暗号鍵です。
    • [OLD_ENCRYPTION_KEY] は、オブジェクトの現在の暗号鍵です。
  2. gsutil rewrite コマンドを使用し、-k フラグを指定します。

    gsutil rewrite -k gs://[BUCKET_NAME]/[OBJECT_NAME]

    ここで

    • [BUCKET_NAME] は、該当するオブジェクトが格納されているバケットの名前です。例: my-bucket
    • [OBJECT_NAME] は、該当するオブジェクトの名前です。例: pets/dog.png

コードサンプル

C++

詳細については、Cloud Storage C++ API のリファレンス ドキュメントをご覧ください。

namespace gcs = google::cloud::storage;
using ::google::cloud::StatusOr;
[](gcs::Client client, std::string bucket_name, std::string object_name,
   std::string old_key_base64, std::string new_key_base64) {
  StatusOr<gcs::ObjectMetadata> object_metadata =
      client.RewriteObjectBlocking(
          bucket_name, object_name, bucket_name, object_name,
          gcs::SourceEncryptionKey::FromBase64Key(old_key_base64),
          gcs::EncryptionKey::FromBase64Key(new_key_base64));

  if (!object_metadata) {
    throw std::runtime_error(object_metadata.status().message());
  }

  std::cout << "Rotated key on object " << object_metadata->name()
            << " in bucket " << object_metadata->bucket()
            << "\nFull Metadata: " << *object_metadata << "\n";
}

Go

詳細については、Cloud Storage Go API のリファレンス ドキュメントをご覧ください。

client, err := storage.NewClient(ctx)
if err != nil {
	return err
}
obj := client.Bucket(bucket).Object(object)
// obj is encrypted with key, we are encrypting it with the newKey.
_, err = obj.Key(newKey).CopierFrom(obj.Key(key)).Run(ctx)
if err != nil {
	return err
}

Java

詳細については、Cloud Storage Java API のリファレンス ドキュメントをご覧ください。

BlobId blobId = BlobId.of(bucketName, blobName);
CopyRequest request =
    CopyRequest.newBuilder()
        .setSource(blobId)
        .setSourceOptions(BlobSourceOption.decryptionKey(oldEncryptionKey))
        .setTarget(blobId, BlobTargetOption.encryptionKey(newEncryptionKey))
        .build();
Blob blob = storage.copy(request).getResult();

PHP

詳細については、Cloud Storage PHP API のリファレンス ドキュメントをご覧ください。

use Google\Cloud\Storage\StorageClient;

/**
 * Change the encryption key used to store an existing object.
 *
 * @param string $bucketName the name of your Google Cloud bucket.
 * @param string $objectName the name of your Google Cloud object.
 * @param string $base64EncryptionKey the base64 encoded encryption key.
 * @param string $newBase64EncryptionKey the new base64 encoded encryption key.
 *
 * @return void
 */
function rotate_encryption_key(
    $bucketName,
    $objectName,
    $base64EncryptionKey,
    $newBase64EncryptionKey
) {
    $storage = new StorageClient();
    $object = $storage->bucket($bucketName)->object($objectName);

    $rewrittenObject = $object->rewrite($bucketName, [
        'encryptionKey' => $base64EncryptionKey,
        'destinationEncryptionKey' => $newBase64EncryptionKey,
    ]);

    printf('Rotated encryption key for object gs://%s/%s' . PHP_EOL,
        $bucketName, $objectName);
}

Python

詳細については、Cloud Storage Python API のリファレンス ドキュメントをご覧ください。

def rotate_encryption_key(bucket_name, blob_name, base64_encryption_key,
                          base64_new_encryption_key):
    """Performs a key rotation by re-writing an encrypted blob with a new
    encryption key."""
    storage_client = storage.Client()
    bucket = storage_client.get_bucket(bucket_name)
    current_encryption_key = base64.b64decode(base64_encryption_key)
    new_encryption_key = base64.b64decode(base64_new_encryption_key)

    # Both source_blob and destination_blob refer to the same storage object,
    # but destination_blob has the new encryption key.
    source_blob = Blob(
        blob_name, bucket, encryption_key=current_encryption_key)
    destination_blob = Blob(
        blob_name, bucket, encryption_key=new_encryption_key)

    token = None

    while True:
        token, bytes_rewritten, total_bytes = destination_blob.rewrite(
            source_blob, token=token)
        if token is None:
            break

    print('Key rotation complete for Blob {}'.format(blob_name))

Ruby

詳細については、Cloud Storage Ruby API のリファレンス ドキュメントをご覧ください。

# project_id             = "Your Google Cloud project ID"
# bucket_name            = "Your Google Cloud Storage bucket name"
# file_name              = "Name of a file in the Cloud Storage bucket"
# current_encryption_key = "Encryption key currently being used"
# new_encryption_key     = "New encryption key to use"

require "google/cloud/storage"

storage = Google::Cloud::Storage.new project_id: project_id
bucket  = storage.bucket bucket_name
file    = bucket.file file_name, encryption_key: current_encryption_key

file.rotate encryption_key:     current_encryption_key,
            new_encryption_key: new_encryption_key

puts "The encryption key for #{file.name} in #{bucket.name} was rotated."

REST API

JSON API

  1. OAuth 2.0 Playground から承認アクセス トークンを取得します。固有の OAuth 認証情報を使用するように Playground を設定します。
  2. cURL を使用して、POST Object リクエストで JSON API を呼び出します。

    curl -X POST --data-binary @[OBJECT] \
      -H "Authorization: Bearer [OAUTH2_TOKEN]" \
      -H "Content-Type: [OBJECT_CONTENT_TYPE]" \
      -H "x-goog-encryption-algorithm: AES256" \
      -H "x-goog-encryption-key: [NEW_ENCRYPTION_KEY]" \
      -H "x-goog-encryption-key-sha256: [HASH_OF_NEW_KEY]" \
      -H "x-goog-copy-source-encryption-algorithm: AES256" \
      -H "x-goog-copy-source-encryption-key: [OLD_ENCRYPTION_KEY]" \
      -H "x-goog-copy-source-encryption-key-sha256: [HASH_OF_OLD_KEY]" \
      "https://www.googleapis.com/storage/v1/b/[BUCKET_NAME]/o/[OBJECT_NAME]/rewriteTo/b/[BUCKET_NAME]/o/[OBJECT_NAME]"

    ここで

    • [OBJECT] は、アップロードするオブジェクトへのパスです。例: Desktop/dogs.png
    • [OAUTH2_TOKEN] は、手順 1 で生成したアクセス トークンです。
    • [OBJECT_CONTENT_TYPE] は、オブジェクトのコンテンツ タイプです。例: image/png
    • [NEW_ENCRYPTION_KEY] は、オブジェクトの暗号化に使用する新しい AES-256 鍵です。
    • [HASH_OF_NEW_KEY] は、新しい AES-256 鍵の SHA-256 ハッシュです。
    • [OLD_ENCRYPTION_KEY] は、オブジェクトの暗号化に現在使用されている AES-256 鍵です。
    • [HASH_OF_OLD_KEY] は、AES-256 鍵の現在の SHA-256 ハッシュです。
    • [BUCKET_NAME] は、該当するオブジェクトが格納されているバケットの名前です。例: my-bucket
    • [OBJECT_NAME] は、キーをローテーションするオブジェクトの名前です。例: Desktop/dogs.png

暗号化に固有のヘッダーに関する詳細については、暗号化リクエストのヘッダーをご覧ください。

XML API

  1. OAuth 2.0 Playground から承認アクセス トークンを取得します。固有の OAuth 認証情報を使用するように Playground を設定します。
  2. 元のオブジェクトを Cloud Storage から削除します。それには、cURL を使用して、DELETE OBJECT リクエストで XML API を呼び出します。

    curl -X DELETE \
      -H "Authorization: Bearer [OAUTH2_TOKEN]" \
      "https://storage.googleapis.com/[BUCKET_NAME]/[OBJECT_NAME]"

    ここで

    • [OAUTH2_TOKEN] は、手順 1 で生成したアクセス トークンです。
    • [BUCKET_NAME] は、削除するオブジェクトが格納されているバケットの名前です。例: my-bucket
    • [OBJECT_NAME] は、削除するオブジェクトの名前です。例: Desktop/dogs.png
  3. cURL を使用して、PUT Object リクエストで XML API を呼び出します。

    curl -X -i PUT --data-binary @[OBJECT] \
      -H "Authorization: Bearer [OAUTH2_TOKEN]" \
      -H "Content-Type: [OBJECT_CONTENT_TYPE]" \
      -H "x-goog-encryption-algorithm: AES256" \
      -H "x-goog-encryption-key: [NEW_ENCRYPTION_KEY]" \
      -H "x-goog-encryption-key-sha256: [HASH_OF_NEW_KEY]" \
      "https://storage.googleapis.com/[BUCKET_NAME]/[OBJECT_NAME]"

    ここで

    • [OBJECT] は、アップロードするオブジェクトへのパスです。例: Desktop/dogs.png
    • [OAUTH2_TOKEN] は、手順 1 で生成したアクセス トークンです。
    • [OBJECT_CONTENT_TYPE] は、オブジェクトのコンテンツ タイプです。例: image/png
    • [NEW_ENCRYPTION_KEY] は、オブジェクトの暗号化に使用する新しい AES-256 鍵です。
    • [HASH_OF_NEW_KEY] は、新しい AES-256 鍵の SHA-256 ハッシュです。
    • [BUCKET_NAME] は、オブジェクトをアップロードする宛先バケットの名前です。例: my-bucket
    • [OBJECT_NAME] は、アップロードするオブジェクトの名前です。例: Desktop/dogs.png

暗号化に固有のヘッダーに関する詳細については、暗号化リクエストのヘッダーをご覧ください。

このページは役立ちましたか?評価をお願いいたします。

フィードバックを送信...

ご不明な点がありましたら、Google のサポートページをご覧ください。