オブジェクト暗号化

[更新:2025年12月18日]

概要

オブジェクトストレージでは、保存されるオブジェクトに対して サーバサイド暗号化(SSE-KMS) を行う機能を提供しています。
アップロードされたオブジェクトは保存時に自動的に暗号化され、保存中の情報漏洩リスクを軽減できます。

暗号化設定は バケット単位 で行われ、暗号化の有効/無効と、使用する KMSキー を設定できます。

本マニュアルで説明するオブジェクト暗号化機能は、 東京リージョン でのみ利用可能です。

前提

暗号化方式はSSE-KMS固定となります。
暗号化には KMS(Key Management Service) で事前に作成した KMSキー が必要です。KMSキーの作成方法は KMS(Key Management Service) をご参照ください。

料金

暗号化機能は追加料金なしでご利用いただけますが、連携するKMSの利用料金は別途発生します。

設定手順

オブジェクトストレージの暗号化設定は コントロールパネル または さくらのオブジェクトストレージAPI で行えます。
設定可能な項目は以下のとおりです。

項目

コントロールパネル

さくらのオブジェクトストレージAPI

バケット作成時の暗号化設定

×

暗号化設定状態の取得

暗号化の有効化/無効化設定

KMSキーの変更

コントロールパネルでの設定方法

コントロールパネルでは以下の暗号化に関する操作が可能です。

  • 暗号化未設定のバケットに対する暗号化設定の有効化

  • 作成済みバケットへの暗号化設定

  • バケット新規作成時の暗号化設定

  • 暗号化設定済みバケットに対する暗号化設定の無効化

  • 暗号化設定済みバケットのKMSキー変更

暗号化未設定のバケットに対する暗号化設定の有効化手順

作成済みバケットへの暗号化設定

メニューの「バケット」をクリックします。

バケット選択

暗号化設定を有効にするバケットを選択します。

対象バケット選択

「暗号化」タブをクリックします。

暗号化タブの選択

「有効化」をクリックします。

有効化

暗号化に使用するKMSキーを選択し、「OK」をクリックします。

KMSキーの選択

重要

有効化以降にバケットに新しく保存されるオブジェクトのみが、指定したKMSキーにて暗号化されます。
既存オブジェクトは自動で暗号化されません。

バケット新規作成時の暗号化設定

メニューの「バケット」をクリックします。

バケット選択

「バケットの追加」をクリックします。

バケットの追加

バケットの名前を入力し、暗号化の「有効」をクリックします。

バケットの追加 暗号化の有効化

注釈

バケット名には半角3〜63文字の範囲で、英字(小文字)、数字、ダッシュ(-)が使用できます。またバケット名の始まりの文字と終わりの文字に記号は使用できません。
バケット名はユーザやサイトに共通してオブジェクトストレージ全体で一意である必要があるため、他のお客様のご利用状況などによりご希望のバケット名が指定できない場合もあります。

暗号化に使用するKMSキーを選択し、「追加」をクリックします。

バケットの追加 KMSキーの選択

暗号化設定済みバケットに対する暗号化設定の無効化手順

メニューの「バケット」をクリックします。

バケット選択

暗号化設定を無効にするバケットを選択します。

対象バケット選択

「暗号化」タブをクリックします。

暗号化タブの選択

有効状態の「無効」を選択し、「保存」をクリックします。

暗号化の無効化

ポップアップMSGの内容を確認し、「OK」をクリックします。

暗号化の無効化の確認

重要

無効化以降にバケットに新しく保存されるオブジェクトが暗号化されずに保存されます。
既存オブジェクトは暗号化されたまま保持されます。

暗号化設定済みバケットのKMSキー変更手順

メニューの「バケット」をクリックします。

バケット選択

KMSキーを変更するバケットを選択します。

対象バケット選択

「暗号化」タブをクリックします。

暗号化タブの選択

KMSキーを変更し、「保存」をクリックします。

KMSキーの変更

ポップアップMSGの内容を確認し、「OK」をクリックします。

KMSキーの変更の確認

重要

変更後にバケットに新しく保存されるオブジェクトが新しいKMSキーにて暗号化されます。
既存オブジェクトは保存時のKMSキーのまま保持されます。

さくらのオブジェクトストレージAPIでの設定方法

APIでは以下操作が可能です。詳細は APIドキュメント をご参照ください。

操作

メソッド

パス

暗号化設定の取得

GET

/buckets/{name}/encryption

暗号化設定の作成/更新

PUT

/buckets/{name}/encryption

暗号化設定の削除

DELETE

/buckets/{name}/encryption

注意事項

設定前後でのストレージ内の状態

暗号化設定の有無に応じたストレージ上の保存状態と、設定後に既存オブジェクトの状態を更新したい場合の手段を整理します。

ストレージ内の保存状態

  • 暗号化設定前のオブジェクトは暗号化されずに保存され続けます(平文のまま)。

  • 暗号化設定を無効化しても、暗号化済みオブジェクトは暗号化されたまま保存され続けます。

  • 暗号化が有効のままKMSキーを変更しても、既存オブジェクトは保存時点の鍵のままです。

操作

操作前に保存されているオブジェクトの状態

操作後に保存されるオブジェクトの状態

暗号化設定を有効化

平文のまま

暗号化されて保存

暗号化設定を無効化

暗号化されたまま

暗号化なしで保存

KMSキー変更

古いKMSキーで暗号化

新しいKMSキーで暗号化

ストレージ状態を更新したい場合

既存オブジェクトを新しい暗号化設定に合わせたい場合、自動では更新されないため手動で対応を行う必要があります。

  • COPY操作

  • 再アップロード(上書き)

この操作により、現在の暗号化設定(最新の KMSキー)で再保存されます。

注釈

S3 APIで暗号化設定は操作できませんが、COPY 操作は可能です。

オブジェクト取得時の復号動作

オブジェクト取得時には、保存時に使用されたKMSキーで自動復号されるため、鍵指定や追加操作は不要です。 復号には保存時のKMSキーがKMS上で有効である必要があり、KMSキーが削除・無効化されている場合、そのオブジェクトは復号できません。

鍵管理とセキュリティ上の注意点

KMSキーの削除・無効化により、そのKMSキーで暗号化されたオブジェクトは復号不能なるため、KMSキーの状態(有効/無効/削除予約など)は慎重に管理してください。 誤ってKMSキーを削除した場合、対象オブジェクトは復元できません。

鍵破棄による復号不能とその活用(確実なデータ廃棄)

KMSキーを削除または無効化すると、該当キーで暗号化されたオブジェクトは復号不可能となります。 これは確実なデータ廃棄手段として利用できます。