gcp_kms_crypto_key

`ancestors`

タイプ: UNORDERED_LIST_STRING

`create_time`

タイプ: TIMESTAMP
プロバイダー名: createTime
説明: 出力のみ。この CryptoKey が作成された時間。

`crypto_key_backend`

タイプ: STRING
プロバイダー名: cryptoKeyBackend
説明: 不変。この CryptoKey に関連するすべての CryptoKeyVersions のキー素材が存在し、関連するすべての暗号化演算が行われるバックエンド環境のリソース名。CryptoKeyVersions の ProtectionLevel が EXTERNAL_VPC で、リソース名が projects/*/locations/*/ekmConnections/* 形式の場合のみ適用可能です。このリストは非網羅的で、将来的に追加の ProtectionLevel に適用される可能性があることに注意してください。

`destroy_scheduled_duration`

タイプ: STRING
プロバイダー名: destroyScheduledDuration
説明: 不変。このキーのバージョンが DESTROY_SCHEDULED 状態から DESTROYED に遷移するまでの期間。作成時に指定しない場合、デフォルトの期間は 24 時間です。

`import_only`

タイプ: BOOLEAN
プロバイダー名: importOnly
説明: 不変。このキーがインポートされたバージョンのみを含むことができるかどうか。

`labels`

タイプ: UNORDERED_LIST_STRING

`name`

タイプ: STRING
プロバイダー名: name
説明: 出力のみ。projects/*/locations/*/keyRings/*/cryptoKeys/* のフォーマットでの、この CryptoKey のリソース名。

`next_rotation_time`

タイプ: TIMESTAMP
プロバイダー名: nextRotationTime
説明: next_rotation_time になると、キー管理サービスは自動的に 1. この CryptoKey の新しいバージョンを作成します。2. 新しいバージョンをプライマリーとしてマークします。CreateCryptoKeyVersion と UpdateCryptoKeyPrimaryVersion を使って手動で行ったキーローテーションは next_rotation_time に影響を与えません。目的 ENCRYPT_DECRYPT を持つキーは自動ローテーションをサポートします。それ以外のキーでは、このフィールドは省略しなければなりません。

`organization_id`

タイプ: STRING

`parent`

タイプ: STRING

`primary`

タイプ: STRUCT
プロバイダー名: primary
説明: 出力のみ。この CryptoKey が EncryptRequest.name に指定されたときに Encrypt が使用する “プライマリー” CryptoKeyVersion のコピー。CryptoKey のプライマリーバージョンは UpdateCryptoKeyPrimaryVersion によって更新することができます。目的 ENCRYPT_DECRYPT を持つキーはプライマリーを持つことができます。その他のキーでは、このフィールドは省略されます。

algorithm
タイプ: STRING
プロバイダー名: algorithm
説明: 出力のみ。この CryptoKeyVersion がサポートする CryptoKeyVersionAlgorithm。
可能な値:
- CRYPTO_KEY_VERSION_ALGORITHM_UNSPECIFIED - 指定なし。
- GOOGLE_SYMMETRIC_ENCRYPTION - 対称型暗号キーを作成します。
- RSA_SIGN_PSS_2048_SHA256 - RSASSA-PSS 2048 ビットキーと SHA256 ダイジェスト。
- RSA_SIGN_PSS_3072_SHA256 - RSASSA-PSS 3072 ビットキーと SHA256 ダイジェスト。
- RSA_SIGN_PSS_4096_SHA256 - RSASSA-PSS 4096 ビットキーと SHA256 ダイジェスト。
- RSA_SIGN_PSS_4096_SHA512 - RSASSA-PSS 4096 ビットキーと SHA512 ダイジェスト。
- RSA_SIGN_PKCS1_2048_SHA256 - RSASSA-PKCS1-v1_5 と 2048 ビットキーおよび SHA256 ダイジェスト。
- RSA_SIGN_PKCS1_3072_SHA256 - RSASSA-PKCS1-v1_5 と 3072 ビットキーおよび SHA256 ダイジェスト。
- RSA_SIGN_PKCS1_4096_SHA256 - RSASSA-PKCS1-v1_5 と 4096 ビットキーおよび SHA256 ダイジェスト。
- RSA_SIGN_PKCS1_4096_SHA512 - RSASSA-PKCS1-v1_5 と 4096 ビットキーおよび SHA512 ダイジェスト。
- RSA_SIGN_RAW_PKCS1_2048 - RSASSA-PKCS1-v1_5 による符号化なし、2048 ビットキーでの署名。
- RSA_SIGN_RAW_PKCS1_3072 - RSASSA-PKCS1-v1_5 による符号化なし、3072 ビットキーでの署名。
- RSA_SIGN_RAW_PKCS1_4096 - RSASSA-PKCS1-v1_5 による符号化なし、4096 ビットキーでの署名。
- RSA_DECRYPT_OAEP_2048_SHA256 - RSAES-OAEP 2048 ビットキーと SHA256 ダイジェスト。
- RSA_DECRYPT_OAEP_3072_SHA256 - RSAES-OAEP 3072 ビットキーと SHA256 ダイジェスト。
- RSA_DECRYPT_OAEP_4096_SHA256 - RSAES-OAEP 4096 ビットキーと SHA256 ダイジェスト。
- RSA_DECRYPT_OAEP_4096_SHA512 - RSAES-OAEP 4096 ビットキーと SHA512 ダイジェスト。
- RSA_DECRYPT_OAEP_2048_SHA1 - RSAES-OAEP 2048 ビットキーと SHA1 ダイジェスト。
- RSA_DECRYPT_OAEP_3072_SHA1 - RSAES-OAEP 3072 ビットキーと SHA1 ダイジェスト。
- RSA_DECRYPT_OAEP_4096_SHA1 - RSAES-OAEP 4096 ビットキーと SHA1 ダイジェスト。
- EC_SIGN_P256_SHA256 - NIST P-256 曲線上の ECDSA と SHA256 ダイジェスト。他のハッシュ関数も使用可能です: https://cloud.google.com/kms/docs/create-validate-signatures#ecdsa_support_for_other_hash_algorithms
- EC_SIGN_P384_SHA384 - NIST P-384 曲線上の ECDSA と SHA384 ダイジェスト。他のハッシュ関数も使用可能です: https://cloud.google.com/kms/docs/create-validate-signatures#ecdsa_support_for_other_hash_algorithms
- EC_SIGN_SECP256K1_SHA256 - 非 NIST の secp256k1 曲線上の ECDSA。この曲線は、HSM 保護レベルでのみサポートされています。他のハッシュ関数も使用可能です: https://cloud.google.com/kms/docs/create-validate-signatures#ecdsa_support_for_other_hash_algorithms
- HMAC_SHA256 - 256 ビットキーによる HMAC-SHA256 署名。
- HMAC_SHA1 - 160 ビットキーによる HMAC-SHA1 署名。
- HMAC_SHA384 - 384 ビットキーによる HMAC-SHA384 署名。
- HMAC_SHA512 - 512 ビットキーによる HMAC-SHA512 署名。
- HMAC_SHA224 - 224 ビットキーによる HMAC-SHA224 署名。
- EXTERNAL_SYMMETRIC_ENCRYPTION - 外部キーマネージャーによる対称型暗号化を表すアルゴリズム。
attestation
タイプ: STRUCT
プロバイダー名: attestation
説明: 出力のみ。キーの作成時に HSM が生成し署名したステートメント。このステートメントを使用して、HSM に保存されているキーの属性を Google とは無関係に検証します。HSM が protection_level であるキーのバージョンにのみ提供されます。
- cert_chains
  タイプ: STRUCT
  プロバイダー名: certChains
  説明: 出力のみ。認証の有効性を確認するために必要な証明書チェーン
  - cavium_certs
    タイプ: UNORDERED_LIST_STRING
    プロバイダー名: caviumCerts
    説明: 認証に対応する Cavium 証明書チェーン。
  - google_card_certs
    タイプ: UNORDERED_LIST_STRING
    プロバイダー名: googleCardCerts
    説明: 認証に対応する Google カード証明書チェーン。
  - google_partition_certs
    タイプ: UNORDERED_LIST_STRING
    プロバイダー名: googlePartitionCerts
    説明: 認証に対応する Google パーティション証明書チェーン。
- format
  タイプ: STRING
  プロバイダー名: format
  説明: 出力のみ。認証データのフォーマット。
  可能な値:
  - ATTESTATION_FORMAT_UNSPECIFIED - 指定なし。
  - CAVIUM_V1_COMPRESSED - Cavium HSM 認証は、gzip で圧縮されています。このフォーマットは Cavium によって定義され、いつでも変更される可能性があることに注意してください。https://www.marvell.com/products/security-solutions/nitrox-hs-adapters/software-key-attestation.html を参照してください。
  - CAVIUM_V2_COMPRESSED - Cavium HSM 認証 V2 は gzip で圧縮されています。これは Cavium のバージョン 3.2-08 で導入された新しいフォーマットです。
create_time
タイプ: TIMESTAMP
プロバイダー名: createTime
説明: 出力のみ。この CryptoKeyVersion が作成された時間。
destroy_event_time
タイプ: TIMESTAMP
プロバイダー名: destroyEventTime
説明: 出力のみ。この CryptoKeyVersion のキー素材が破棄された時間。状態が DESTROYED である場合のみ存在します。
destroy_time
タイプ: TIMESTAMP
プロバイダー名: destroyTime
説明: 出力のみ。この CryptoKeyVersion のキー素材が破棄される予定の時間。状態が DESTROY_SCHEDULED である場合のみ存在します。
external_destruction_failure_reason
タイプ: STRING
プロバイダー名: externalDestructionFailureReason
説明: 出力のみ。直近の外部破壊失敗の根本原因。状態が EXTERNAL_DESTRUCTION_FAILED である場合のみ表示されます。
external_protection_level_options
タイプ: STRUCT
プロバイダー名: externalProtectionLevelOptions
説明: ExternalProtectionLevelOptions には、EXTERNAL 保護レベルと EXTERNAL_VPC 保護レベルに固有の CryptoKeyVersion を構成するための追加フィールドのグループが格納されています。
- ekm_connection_key_path
  タイプ: STRING
  プロバイダー名: ekmConnectionKeyPath
  説明: EkmConnection を使用する場合に、EKM 上の外部キー素材へのパス、例えば “v0/my/key” です。EkmConnection を使用する場合、external_key_uri の代わりにこのフィールドを設定します。
- external_key_uri
  タイプ: STRING
  プロバイダー名: externalKeyUri
  説明: この CryptoKeyVersion が表す外部リソースの URI。
generate_time
タイプ: TIMESTAMP
プロバイダー名: generateTime
説明: 出力のみ。この CryptoKeyVersion のキー素材が生成された時間。
generation_failure_reason
タイプ: STRING
プロバイダー名: generationFailureReason
説明: 出力のみ。直近の生成失敗の根本原因。状態が GENERATION_FAILED である場合のみ表示されます。
import_failure_reason
タイプ: STRING
プロバイダー名: importFailureReason
説明: 出力のみ。直近のインポート失敗の根本原因。状態が IMPORT_FAILED である場合のみ表示されます。
import_job
タイプ: STRING
プロバイダー名: importJob
説明: 出力のみ。この CryptoKeyVersion の直近のインポートで使用された ImportJob の名前。基礎となるキー素材がインポートされた場合のみ表示されます。
import_time
タイプ: TIMESTAMP
プロバイダー名: importTime
説明: 出力のみ。この CryptoKeyVersion のキー素材が最も最近インポートされた時間。
name
タイプ: STRING
プロバイダー名: name
説明: 出力のみ。この CryptoKeyVersion のリソース名で、フォーマットは projects/*/locations/*/keyRings/*/cryptoKeys/*/cryptoKeyVersions/* です。
protection_level
タイプ: STRING
プロバイダー名: protectionLevel
説明: 出力のみ。この CryptoKeyVersion でどのように暗号化演算を行うかを記述した ProtectionLevel。
可能な値:
- PROTECTION_LEVEL_UNSPECIFIED - 指定なし。
- SOFTWARE - 暗号演算子はソフトウェアで実行されます。
- HSM - 暗号演算子は、ハードウェアセキュリティモジュールで実行されます。
- EXTERNAL - 暗号演算子は外部キーマネージャーで実行されます。
- EXTERNAL_VPC - 暗号演算子は EKM-over-VPC バックエンドで実行されます。
reimport_eligible
タイプ: BOOLEAN
プロバイダー名: reimportEligible
説明: 出力のみ。ImportCryptoKeyVersionRequest.crypto_key_version でターゲットとして指定された、このキーバージョンが再インポート可能であるかどうか。
state
タイプ: STRING
プロバイダー名: state
説明: The current state of the CryptoKeyVersion.
可能な値:
- CRYPTO_KEY_VERSION_STATE_UNSPECIFIED - 指定なし。
- PENDING_GENERATION - このバージョンはまだ生成中です。まだ使用、有効化、無効化、破棄することはできません。Cloud KMS は、バージョンの準備ができ次第、このバージョンを自動的に ENABLED にします。
- ENABLED - このバージョンは、暗号演算子として使用することができます。
- DISABLED - このバージョンは使用されないかもしれませんが、キーとなる素材はまだ利用可能で、バージョンを ENABLED 状態に戻すことができます。
- DESTROYED - このバージョンは破棄され、キー素材はもはや保存されません。このバージョンが reimport_eligible で、かつ KeyManagementService.ImportCryptoKeyVersion をコールしてオリジナルのキー素材を再インポートした場合のみ、再び ENABLED となることができます。
- DESTROY_SCHEDULED - このバージョンは破棄される予定で、まもなく破棄されます。RestoreCryptoKeyVersion をコールして、DISABLED 状態に戻してください。
- PENDING_IMPORT - このバージョンはまだインポート中です。まだ使用、有効化、無効化、破棄することはできません。Cloud KMS は、バージョンの準備ができ次第、このバージョンを自動的に ENABLED にします。
- IMPORT_FAILED - このバージョンは正常にインポートされませんでした。使用、有効化、無効化、または破棄することはできません。送信されたキー素材は破棄されました。その他の詳細は CryptoKeyVersion.import_failure_reason に記載されています。
- GENERATION_FAILED - このバージョンは正常に生成されませんでした。使用、有効化、無効化、または破棄することはできません。その他の詳細は CryptoKeyVersion.generation_failure_reason に記載されています。
- PENDING_EXTERNAL_DESTRUCTION - このバージョンは破壊されたので、再び使用したり有効にしたりすることはできません。Cloud KMS は、外部キーマネージャーに存在する対応するキー素材が破壊されるのを待ちます。
- EXTERNAL_DESTRUCTION_FAILED - このバージョンは破壊されたので、再び使用したり有効にしたりすることはできません。しかし、Cloud KMS は、外部キーマネージャーに存在する対応するキー素材が破壊されたことを確認できませんでした。その他の詳細は、CryptoKeyVersion.external_destruction_failure_reason に記載されています。

`project_id`

タイプ: STRING

`project_number`

タイプ: STRING

`purpose`

タイプ: STRING
プロバイダー名: purpose
説明: 不変。この CryptoKey の不変の目的。
可能な値:

CRYPTO_KEY_PURPOSE_UNSPECIFIED - 指定なし。
ENCRYPT_DECRYPT - この目的のための暗号キーは Encrypt と Decrypt で使用することができます。
ASYMMETRIC_SIGN - この目的のための暗号キーは AsymmetricSign と GetPublicKey で使用することができます。
ASYMMETRIC_DECRYPT - この目的のための暗号キーは AsymmetricDecrypt と GetPublicKey で使用することができます。
MAC - この目的のための暗号キーは MacSign で使用することができます。

`resource_name`

タイプ: STRING

`rotation_period`

タイプ: STRING
プロバイダー名: rotationPeriod
説明: サービスが自動的にキーをローテーションするとき、next_rotation_time はこの時間だけ進められます。最低でも 24 時間、最大でも 876,000 時間でなければなりません。rotation_period が設定されている場合、next_rotation_time も設定する必要があります。目的 ENCRYPT_DECRYPT を持つキーは自動ローテーションをサポートします。それ以外のキーでは、このフィールドは省略しなければなりません。

`tags`

タイプ: UNORDERED_LIST_STRING

`version_template`

タイプ: STRUCT
プロバイダー名: versionTemplate
説明: 新しい CryptoKeyVersion インスタンスの設定を記述したテンプレート。CreateCryptoKeyVersion または自動ローテーションによって作成される新しい CryptoKeyVersion インスタンスのプロパティは、このテンプレートによって制御されます。

algorithm
タイプ: STRING
プロバイダー名: algorithm
説明: 必須。このテンプレートに基づく CryptoKeyVersion を作成するときに使用するアルゴリズム。後方互換性のため、このフィールドが省略され、かつ CryptoKey.purpose が ENCRYPT_DECRYPT の場合、GOOGLE_SYMMETRIC_ENCRYPTION が暗黙のうちに使用されます。
可能な値:
- CRYPTO_KEY_VERSION_ALGORITHM_UNSPECIFIED - 指定なし。
- GOOGLE_SYMMETRIC_ENCRYPTION - 対称型暗号キーを作成します。
- RSA_SIGN_PSS_2048_SHA256 - RSASSA-PSS 2048 ビットキーと SHA256 ダイジェスト。
- RSA_SIGN_PSS_3072_SHA256 - RSASSA-PSS 3072 ビットキーと SHA256 ダイジェスト。
- RSA_SIGN_PSS_4096_SHA256 - RSASSA-PSS 4096 ビットキーと SHA256 ダイジェスト。
- RSA_SIGN_PSS_4096_SHA512 - RSASSA-PSS 4096 ビットキーと SHA512 ダイジェスト。
- RSA_SIGN_PKCS1_2048_SHA256 - RSASSA-PKCS1-v1_5 と 2048 ビットキーおよび SHA256 ダイジェスト。
- RSA_SIGN_PKCS1_3072_SHA256 - RSASSA-PKCS1-v1_5 と 3072 ビットキーおよび SHA256 ダイジェスト。
- RSA_SIGN_PKCS1_4096_SHA256 - RSASSA-PKCS1-v1_5 と 4096 ビットキーおよび SHA256 ダイジェスト。
- RSA_SIGN_PKCS1_4096_SHA512 - RSASSA-PKCS1-v1_5 と 4096 ビットキーおよび SHA512 ダイジェスト。
- RSA_SIGN_RAW_PKCS1_2048 - RSASSA-PKCS1-v1_5 による符号化なし、2048 ビットキーでの署名。
- RSA_SIGN_RAW_PKCS1_3072 - RSASSA-PKCS1-v1_5 による符号化なし、3072 ビットキーでの署名。
- RSA_SIGN_RAW_PKCS1_4096 - RSASSA-PKCS1-v1_5 による符号化なし、4096 ビットキーでの署名。
- RSA_DECRYPT_OAEP_2048_SHA256 - RSAES-OAEP 2048 ビットキーと SHA256 ダイジェスト。
- RSA_DECRYPT_OAEP_3072_SHA256 - RSAES-OAEP 3072 ビットキーと SHA256 ダイジェスト。
- RSA_DECRYPT_OAEP_4096_SHA256 - RSAES-OAEP 4096 ビットキーと SHA256 ダイジェスト。
- RSA_DECRYPT_OAEP_4096_SHA512 - RSAES-OAEP 4096 ビットキーと SHA512 ダイジェスト。
- RSA_DECRYPT_OAEP_2048_SHA1 - RSAES-OAEP 2048 ビットキーと SHA1 ダイジェスト。
- RSA_DECRYPT_OAEP_3072_SHA1 - RSAES-OAEP 3072 ビットキーと SHA1 ダイジェスト。
- RSA_DECRYPT_OAEP_4096_SHA1 - RSAES-OAEP 4096 ビットキーと SHA1 ダイジェスト。
- EC_SIGN_P256_SHA256 - NIST P-256 カーブ上の ECDSA と SHA256 ダイジェスト。他のハッシュ関数も使用可能です: https://cloud.google.com/kms/docs/create-validate-signatures#ecdsa_support_for_other_hash_algorithms
- EC_SIGN_P384_SHA384 - NIST P-384 カーブ上の ECDSA と SHA384 ダイジェスト。他のハッシュ関数も使用可能です: https://cloud.google.com/kms/docs/create-validate-signatures#ecdsa_support_for_other_hash_algorithms
- EC_SIGN_SECP256K1_SHA256 - 非 NIST の secp256k1 曲線上の ECDSA。この曲線は、HSM 保護レベルでのみサポートされています。他のハッシュ関数も使用可能です: https://cloud.google.com/kms/docs/create-validate-signatures#ecdsa_support_for_other_hash_algorithms
- HMAC_SHA256 - 256 ビットキーによる HMAC-SHA256 署名。
- HMAC_SHA1 - 160 ビットキーによる HMAC-SHA1 署名。
- HMAC_SHA384 - 384 ビットキーによる HMAC-SHA384 署名。
- HMAC_SHA512 - 512 ビットキーによる HMAC-SHA512 署名。
- HMAC_SHA224 - 224 ビットキーによる HMAC-SHA224 署名。
- EXTERNAL_SYMMETRIC_ENCRYPTION - 外部キーマネージャーによる対称型暗号化を表すアルゴリズム。
protection_level
タイプ: STRING
プロバイダー名: protectionLevel
説明: このテンプレートに基づいた CryptoKeyVersion を作成する際に使用する ProtectionLevel。不変。デフォルトは SOFTWARE です。
可能な値:
- PROTECTION_LEVEL_UNSPECIFIED - 指定なし。
- SOFTWARE - 暗号演算子はソフトウェアで実行されます。
- HSM - 暗号演算子は、ハードウェアセキュリティモジュールで実行されます。
- EXTERNAL - 暗号演算子は外部キーマネージャーで実行されます。
- EXTERNAL_VPC - 暗号演算子は EKM-over-VPC バックエンドで実行されます。