이 페이지에서는 Cloud Storage에서 고객 제공 암호화 키라는 자체 암호화 키를 사용하는 방법을 설명합니다. Cloud Storage의 다른 암호화 옵션은 데이터 암호화 옵션을 참조하세요.
자체 암호화 키 생성
다양한 방법으로 Base64 인코딩 AES-256 암호화 키를 만들 수 있습니다. 다음은 몇 가지 예시입니다.
C++
자세한 내용은 Cloud Storage C++ API 참조 문서를 확인하세요.
Cloud Storage에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 클라이언트 라이브러리의 인증 설정을 참조하세요.
C#
자세한 내용은 Cloud Storage C# API 참조 문서를 확인하세요.
Cloud Storage에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 클라이언트 라이브러리의 인증 설정을 참조하세요.
Go
자세한 내용은 Cloud Storage Go API 참조 문서를 확인하세요.
Cloud Storage에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 클라이언트 라이브러리의 인증 설정을 참조하세요.
Java
자세한 내용은 Cloud Storage Java API 참조 문서를 확인하세요.
Cloud Storage에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 클라이언트 라이브러리의 인증 설정을 참조하세요.
Node.js
자세한 내용은 Cloud Storage Node.js API 참조 문서를 확인하세요.
Cloud Storage에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 클라이언트 라이브러리의 인증 설정을 참조하세요.
PHP
자세한 내용은 Cloud Storage PHP API 참조 문서를 확인하세요.
Cloud Storage에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 클라이언트 라이브러리의 인증 설정을 참조하세요.
Python
자세한 내용은 Cloud Storage Python API 참조 문서를 확인하세요.
Cloud Storage에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 클라이언트 라이브러리의 인증 설정을 참조하세요.
Ruby
자세한 내용은 Cloud Storage Ruby API 참조 문서를 확인하세요.
Cloud Storage에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 클라이언트 라이브러리의 인증 설정을 참조하세요.
암호화 키를 사용한 업로드
고객 제공 암호화 키를 사용하여 객체를 업로드하려면 다음을 따르세요.
콘솔
Google Cloud Console은 고객 제공 암호화 키로 객체를 업로드하는 데 사용할 수 없습니다. 대신 Google Cloud CLI 또는 클라이언트 라이브러리를 사용합니다.
명령줄
gcloud storage cp
명령어를 --encryption-key
플래그와 함께 사용합니다.
gcloud storage cp SOURCE_DATA gs://BUCKET_NAME/OBJECT_NAME --encryption-key=YOUR_ENCRYPTION_KEY
각 항목의 의미는 다음과 같습니다.
SOURCE_DATA
는 암호화하는 데이터의 소스 위치입니다.cp
명령어에서 지원하는 모든 소스 위치일 수 있습니다. 예를 들어Desktop/dogs.png
와 같은 로컬 파일 또는gs://my-bucket/pets/old-dog.png
와 같은 다른 Cloud Storage 객체가 있습니다.BUCKET_NAME
은 이 복사 명령어의 대상 버킷 이름입니다. 예를 들면my-bucket
입니다.OBJECT_NAME
은 암호화된 최종 객체의 이름입니다. 예를 들면pets/new-dog.png
입니다.YOUR_ENCRYPTION_KEY
는 업로드한 객체를 암호화하는 데 사용하려는 AES-256 키입니다.
클라이언트 라이브러리
C++
자세한 내용은 Cloud Storage C++ API 참고 문서를 확인하세요.
Cloud Storage에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 클라이언트 라이브러리의 인증 설정을 참조하세요.
C#
자세한 내용은 Cloud Storage C# API 참조 문서를 확인하세요.
Cloud Storage에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 클라이언트 라이브러리의 인증 설정을 참조하세요.
Go
자세한 내용은 Cloud Storage Go API 참조 문서를 확인하세요.
Cloud Storage에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 클라이언트 라이브러리의 인증 설정을 참조하세요.
Java
자세한 내용은 Cloud Storage Java API 참조 문서를 확인하세요.
Cloud Storage에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 클라이언트 라이브러리의 인증 설정을 참조하세요.
Node.js
자세한 내용은 Cloud Storage Node.js API 참조 문서를 확인하세요.
Cloud Storage에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 클라이언트 라이브러리의 인증 설정을 참조하세요.
PHP
자세한 내용은 Cloud Storage PHP API 참조 문서를 확인하세요.
Cloud Storage에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 클라이언트 라이브러리의 인증 설정을 참조하세요.
Python
자세한 내용은 Cloud Storage Python API 참조 문서를 확인하세요.
Cloud Storage에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 클라이언트 라이브러리의 인증 설정을 참조하세요.
Ruby
자세한 내용은 Cloud Storage Ruby API 참조 문서를 확인하세요.
Cloud Storage에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 클라이언트 라이브러리의 인증 설정을 참조하세요.
REST API
JSON API
Authorization
헤더에 대한 액세스 토큰을 생성하려면 gcloud CLI가 설치 및 초기화되어 있어야 합니다.cURL
를 사용하여POST
객체 요청으로 JSON API를 호출합니다.curl -X POST --data-binary @OBJECT \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: OBJECT_CONTENT_TYPE" \ -H "x-goog-encryption-algorithm: AES256" \ -H "x-goog-encryption-key: YOUR_ENCRYPTION_KEY" \ -H "x-goog-encryption-key-sha256: HASH_OF_YOUR_KEY" \ "https://storage.googleapis.com/upload/storage/v1/b/BUCKET_NAME/o?uploadType=media&name=OBJECT_NAME"
각 항목의 의미는 다음과 같습니다.
OBJECT
는 업로드할 객체의 경로입니다. 예를 들면Desktop/dogs.png
입니다.OBJECT_CONTENT_TYPE
은 객체의 콘텐츠 유형입니다. 예를 들면image/png
입니다.YOUR_ENCRYPTION_KEY
는 업로드한 객체를 암호화하는 데 사용되는 AES-256 키입니다.HASH_OF_YOUR_KEY
는 AES-256 키의 SHA-256 해시입니다.BUCKET_NAME
은 객체를 업로드할 버킷의 이름입니다. 예를 들면my-bucket
입니다.OBJECT_NAME
은 업로드할 객체의 URL 인코딩 이름입니다. 예를 들어pets/dog.png
는pets%2Fdog.png
로 URL 인코딩됩니다.
암호화 관련 헤더에 대한 자세한 내용은 암호화 요청 헤더를 참조하세요.
XML API
Authorization
헤더에 대한 액세스 토큰을 생성하려면 gcloud CLI가 설치 및 초기화되어 있어야 합니다.cURL
를 사용하여PUT
객체 요청으로 XML API를 호출합니다.curl -X -i PUT --data-binary @OBJECT \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: OBJECT_CONTENT_TYPE" \ -H "x-goog-encryption-algorithm: AES256" \ -H "x-goog-encryption-key: YOUR_ENCRYPTION_KEY" \ -H "x-goog-encryption-key-sha256: HASH_OF_YOUR_KEY" \ "https://storage.googleapis.com/BUCKET_NAME/OBJECT_NAME"
각 항목의 의미는 다음과 같습니다.
OBJECT
는 업로드할 객체의 경로입니다. 예를 들면Desktop/dogs.png
입니다.OBJECT_CONTENT_TYPE
은 객체의 콘텐츠 유형입니다. 예를 들면image/png
입니다.YOUR_ENCRYPTION_KEY
는 업로드한 객체를 암호화하는 데 사용되는 AES-256 키입니다.HASH_OF_YOUR_KEY
는 AES-256 키의 SHA-256 해시입니다.BUCKET_NAME
은 객체를 업로드할 버킷의 이름입니다. 예를 들면my-bucket
입니다.OBJECT_NAME
은 업로드할 객체의 URL 인코딩 이름입니다. 예를 들어pets/dog.png
는pets%2Fdog.png
로 URL 인코딩됩니다.
암호화 관련 헤더에 대한 자세한 내용은 암호화 요청 헤더를 참조하세요.
암호화한 객체 다운로드
고객 제공 암호화 키로 암호화하여 Cloud Storage에 저장된 객체를 다운로드하려면 다음을 따르세요.
콘솔
Google Cloud Console은 고객 제공 암호화 키로 암호화된 객체를 다운로드하는 데 사용할 수 없습니다. 대신 Google Cloud CLI 또는 클라이언트 라이브러리를 사용합니다.
명령줄
gcloud storage cp
명령어를 --decryption-keys
플래그와 함께 사용합니다.
gcloud storage cp gs://BUCKET_NAME/OBJECT_NAME OBJECT_DESTINATION --decryption-keys=YOUR_ENCRYPTION_KEY
각 항목의 의미는 다음과 같습니다.
BUCKET_NAME
은 다운로드할 객체가 포함된 버킷의 이름입니다. 예를 들면my-bucket
입니다.OBJECT_NAME
은 다운로드할 객체의 이름입니다. 예를 들면pets/dog.png
입니다.OBJECT_DESTINATION
은 객체를 저장할 위치입니다. 예를 들면Desktop
입니다.YOUR_ENCRYPTION_KEY
는 업로드 시 객체를 암호화는 데 사용되는 AES-256 키입니다.
클라이언트 라이브러리
C++
자세한 내용은 Cloud Storage C++ API 참고 문서를 확인하세요.
Cloud Storage에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 클라이언트 라이브러리의 인증 설정을 참조하세요.
C#
자세한 내용은 Cloud Storage C# API 참조 문서를 확인하세요.
Cloud Storage에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 클라이언트 라이브러리의 인증 설정을 참조하세요.
Go
자세한 내용은 Cloud Storage Go API 참조 문서를 확인하세요.
Cloud Storage에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 클라이언트 라이브러리의 인증 설정을 참조하세요.
Java
자세한 내용은 Cloud Storage Java API 참조 문서를 확인하세요.
Cloud Storage에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 클라이언트 라이브러리의 인증 설정을 참조하세요.
Node.js
자세한 내용은 Cloud Storage Node.js API 참조 문서를 확인하세요.
Cloud Storage에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 클라이언트 라이브러리의 인증 설정을 참조하세요.
PHP
자세한 내용은 Cloud Storage PHP API 참조 문서를 확인하세요.
Cloud Storage에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 클라이언트 라이브러리의 인증 설정을 참조하세요.
Python
자세한 내용은 Cloud Storage Python API 참조 문서를 확인하세요.
Cloud Storage에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 클라이언트 라이브러리의 인증 설정을 참조하세요.
Ruby
자세한 내용은 Cloud Storage Ruby API 참조 문서를 확인하세요.
Cloud Storage에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 클라이언트 라이브러리의 인증 설정을 참조하세요.
REST API
JSON API
Authorization
헤더에 대한 액세스 토큰을 생성하려면 gcloud CLI가 설치 및 초기화되어 있어야 합니다.cURL
를 사용하여GET
객체 요청으로 JSON API를 호출합니다.curl -X GET \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "x-goog-encryption-algorithm: AES256" \ -H "x-goog-encryption-key: YOUR_ENCRYPTION_KEY" \ -H "x-goog-encryption-key-sha256: HASH_OF_YOUR_KEY" \ -o "SAVE_TO_LOCATION" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/o/OBJECT_NAME?alt=media"
각 항목의 의미는 다음과 같습니다.
YOUR_ENCRYPTION_KEY
는 객체를 암호화하는 데 사용되는 AES-256 키입니다.HASH_OF_YOUR_KEY
는 AES-256 키의 SHA-256 해시입니다.SAVE_TO_LOCATION
은 객체를 저장할 위치입니다. 예를 들면Desktop/dog.png
입니다.BUCKET_NAME
은 객체를 다운로드할 버킷의 이름입니다. 예를 들면my-bucket
입니다.OBJECT_NAME
은 다운로드할 객체의 URL 인코딩 이름입니다. 예를 들어pets/dog.png
는pets%2Fdog.png
로 URL 인코딩됩니다.
암호화 관련 헤더에 대한 자세한 내용은 암호화 요청 헤더를 참조하세요.
XML API
Authorization
헤더에 대한 액세스 토큰을 생성하려면 gcloud CLI가 설치 및 초기화되어 있어야 합니다.cURL
를 사용하여GET
객체 요청으로 XML API를 호출합니다.curl -X GET \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "x-goog-encryption-algorithm: AES256" \ -H "x-goog-encryption-key: YOUR_ENCRYPTION_KEY" \ -H "x-goog-encryption-key-sha256: HASH_OF_YOUR_KEY" \ -o "SAVE_TO_LOCATION" \ "https://storage.googleapis.com/BUCKET_NAME/OBJECT_NAME"
각 항목의 의미는 다음과 같습니다.
YOUR_ENCRYPTION_KEY
는 객체를 암호화하는 데 사용되는 AES-256 키입니다.HASH_OF_YOUR_KEY
는 AES-256 키의 SHA-256 해시입니다.SAVE_TO_LOCATION
은 객체를 저장할 위치입니다. 예를 들면Desktop/dog.png
입니다.BUCKET_NAME
은 객체를 다운로드할 버킷의 이름입니다. 예를 들면my-bucket
입니다.OBJECT_NAME
은 다운로드할 객체의 URL 인코딩 이름입니다. 예를 들어pets/dog.png
는pets%2Fdog.png
로 URL 인코딩됩니다.
암호화 관련 헤더에 대한 자세한 내용은 암호화 요청 헤더를 참조하세요.
암호화 키 순환
고객 제공 암호화 키를 순환하려면 다음을 따르세요.
콘솔
Google Cloud Console은 고객 제공 암호화 키를 순환하는 데 사용할 수 없습니다. 대신 Google Cloud CLI 또는 클라이언트 라이브러리를 사용합니다.
명령줄
gcloud storage objects update
명령어를 적절한 플래그와 함께 사용합니다.
gcloud storage objects update gs://BUCKET_NAME/OBJECT_NAME --encryption-key=NEW_KEY --decryption-keys=OLD_KEY
각 항목의 의미는 다음과 같습니다.
BUCKET_NAME
은 키를 순환할 객체가 포함된 버킷의 이름입니다. 예를 들면my-bucket
입니다.OBJECT_NAME
은 키를 순환할 객체의 이름입니다. 예를 들면pets/dog.png
입니다.NEW_KEY
는 객체를 암호화하는 데 사용할 새로운 고객 제공 암호화 키입니다.OLD_KEY
는 객체를 암호화하는 데 사용되는 현재 고객 제공 암호화 키입니다.
클라이언트 라이브러리
C++
자세한 내용은 Cloud Storage C++ API 참고 문서를 확인하세요.
Cloud Storage에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 클라이언트 라이브러리의 인증 설정을 참조하세요.
C#
자세한 내용은 Cloud Storage C# API 참조 문서를 확인하세요.
Cloud Storage에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 클라이언트 라이브러리의 인증 설정을 참조하세요.
Go
자세한 내용은 Cloud Storage Go API 참조 문서를 확인하세요.
Cloud Storage에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 클라이언트 라이브러리의 인증 설정을 참조하세요.
Java
자세한 내용은 Cloud Storage Java API 참조 문서를 확인하세요.
Cloud Storage에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 클라이언트 라이브러리의 인증 설정을 참조하세요.
Node.js
자세한 내용은 Cloud Storage Node.js API 참조 문서를 확인하세요.
Cloud Storage에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 클라이언트 라이브러리의 인증 설정을 참조하세요.
PHP
자세한 내용은 Cloud Storage PHP API 참조 문서를 확인하세요.
Cloud Storage에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 클라이언트 라이브러리의 인증 설정을 참조하세요.
Python
자세한 내용은 Cloud Storage Python API 참조 문서를 확인하세요.
Cloud Storage에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 클라이언트 라이브러리의 인증 설정을 참조하세요.
Ruby
자세한 내용은 Cloud Storage Ruby API 참조 문서를 확인하세요.
Cloud Storage에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 클라이언트 라이브러리의 인증 설정을 참조하세요.
REST API
JSON API
Authorization
헤더에 대한 액세스 토큰을 생성하려면 gcloud CLI가 설치 및 초기화되어 있어야 합니다.cURL
를 사용하여POST
객체 요청으로 JSON API를 호출합니다.curl -X POST \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Length: 0" \ -H "x-goog-encryption-algorithm: AES256" \ -H "x-goog-encryption-key: NEW_ENCRYPTION_KEY" \ -H "x-goog-encryption-key-sha256: HASH_OF_NEW_KEY" \ -H "x-goog-copy-source-encryption-algorithm: AES256" \ -H "x-goog-copy-source-encryption-key: OLD_ENCRYPTION_KEY" \ -H "x-goog-copy-source-encryption-key-sha256: HASH_OF_OLD_KEY" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/o/OBJECT_NAME/rewriteTo/b/BUCKET_NAME/o/OBJECT_NAME"
각 항목의 의미는 다음과 같습니다.
NEW_ENCRYPTION_KEY
는 객체를 암호화하는 데 사용되는 새로운 AES-256 키입니다.HASH_OF_NEW_KEY
는 새 AES-256 키의 SHA-256 해시입니다.OLD_ENCRYPTION_KEY
는 객체를 암호화하는 데 사용되는 현재 AES-256 키입니다.HASH_OF_OLD_KEY
는 AES-256 키의 현재 SHA-256 해시입니다.BUCKET_NAME
은 관련 객체를 포함하는 버킷의 이름입니다. 예를 들면my-bucket
입니다.OBJECT_NAME
은 키를 순환할 객체의 URL 인코딩 이름입니다. 예를 들어pets/dog.png
는pets%2Fdog.png
로 URL 인코딩됩니다.
암호화 관련 헤더에 대한 자세한 내용은 암호화 요청 헤더를 참조하세요.
XML API
XML API는 객체 재작성을 통한 고객 제공 암호화 키 순환을 지원하지 않습니다. XML API를 사용하여 새 고객 제공 키를 객체에 적용하려면 다음을 수행해야 합니다.
- 기존 객체를 다운로드합니다.
- 새 키를 사용하여 객체를 다시 업로드합니다.
다음 단계
고객 제공 암호화 키 자세히 알아보기
고객 제공 암호화 키를 Cloud KMS 키로 순환하는 방법 알아보기