dainoji

2024年12月03日に参加

学習履歴詳細

Google Cloud KMSの仕様復習

  • DEKとKEK周りのアーキテクチャ
    • DEKは基本的には(暗号化オブジェクトからみた)クライアント側で生成する
    • DEKでオブジェクト自体を暗号化
      • KEKでオブジェクトの暗号化も行えてしまうが、ベスプラはDEKとKEKの組み合わせ
    • KEKでDEKを暗号化
      • KEKはKMS上に保管される
      • KEKで暗号化するのはあくまでDEKであり、DEK + オブジェクトではない(オブジェクトはすでにDEKで暗号化されている)
    • その他
      • KMSでの暗号化が有効のCloud Storageに対してCloud Storage SDKでオブジェクトをアップロードする際はSDKの中でDEKの生成も行われる。自前でKMSのSDKを使って暗号化する場合はDEKは自前で生成する必要がある。
Security
GCP

2025年01月03日(金)

2.0時間