数据流，使用客户提供的加密密钥加载文件

Question

尝试使用 CSEK 加载 GCS 文件时出现数据流错误

[ERROR] The target object is encrypted by a customer-supplied encryption key

我打算在数据流端尝试 AES 解密，但我发现如果不传递加密密钥，我什至无法获取文件。

还有其他方法可以从数据流中加载 CSEK 加密的 Google Cloud Storage 文件吗？例如使用谷歌云存储 API，获取流句柄然后将其传递给数据流？

    // Fails
    p.apply("Read from source", TextIO.read().from("gs://my_bucket/myfile")).apply(..); 

Answer 1

documentation Cloud Dataflow 目前不支持使用客户提供的加密密钥加密的对象。我开了一个feature request 来实现它。

请注意，如果没有该加密密钥，您将无法在 Cloud Storage 中获取使用客户提供的加密密钥 (CSEK) 上传的文件。

documentation：

如果您使用客户提供的加密密钥或客户端 加密，您必须安全地管理您的密钥并确保它们 没有丢失。如果您丢失了钥匙，您将无法再阅读 您的数据，并且您继续为对象的存储付费 直到你删除它们。

如果我们还有 CSE 密钥，访问该文件的示例 Java 代码是：

byte[] content = storage.readAllBytes(
    bucketName, blobName, BlobSourceOption.decryptionKey(decryptionKey));

在here 中描述了使用 CSEK 获取文件的所有其他可能方法。