Cloud ML エンジンで実行されるトレーナー アプリケーションで次のコードを使用しています。

そして、次のエラーが発生します。

Google クラウド SDK がインストールされているローカル マシンから同じコードを問題なく実行できます。ここで何か不足している場合はお知らせください。

環境

ストレージ バケットにシークレットを保存するための GCP の指示に従っています。KMS は、ストレージ バケットにアップロードされる前のファイルの暗号化に使用されます。

データの暗号化は Google のストレージの外で行われるため、鍵のローテーションの 1 つの側面について少し混乱しています。

シナリオ

特定のシナリオを考えてみましょう。

1. 2017-01-01に、キーリングとキーを作成しますA(これは、実際A_ver1にはキーがバージョン管理されているためです)。また、鍵のローテーション ポリシーは、ローテーションを毎年トリガーするように設定されています。
2. 2017-01-15で、次のように暗号化するコマンドを実行しました: .some_file.txtA_ver1curl -s -X POST "https://cloudkms.googleapis.com/v1/projects/my-project/<...>" \ -d "{\"plaintext\":\"<...SOME_FILE_CONTENT...>\"}" \ -H "Authorization:Bearer $(gcloud auth application-default print-access-token)" \ -H "Content-Type:application/json"
3. すぐに暗号化の結果を として Storage Bucket に保存しsome_file.txt.encryptedます。
4. 私は何もしません.2018-01-01にキーローテーションが発生します。私が理解しているように、A_ver1無効になり、A_ver2生成され、アクティブになります。これらの 2 つのイベントはほぼ同時に発生します。
5. 2018-06-01に、暗号化を解除する必要があることに気付きましたsome_file.txt.encrypted。A_ver2ファイルをダウンロードしてから、 ...を使用してファイルの暗号化を解除するコマンドを実行しようとしています。

質問

質問 1A_ver2 :以前のバージョンで暗号化されたファイルを暗号化解除しようとするとどうなりますA_ver1か?

質問 2 : 暗号化解除に失敗した場合、それを防ぐためにまず何をすればよいですか?

状況：

Google クラウド バケットからデータをダウンロードして復号化しようとしています。

暗号化と復号化には、次を使用します。

https://cloud.google.com/kms/docs/quickstart#decrypt_data

悲しいことに、「'ciphertext' (TYPE_BYTES) の値が無効です」というエラーが表示されます。

暗号文が正しいことはわかっています。これは、Google KMS API が期待するデータのタイプに問題がある可能性があると思います。つまり、暗号化されたデータを取得するときに、POST リクエストを Google KMS API に送信する前にコードが何らかの形でタイプを変更しました。 .

私は何を間違えましたか、どうすれば修正できますか?

コード：

出力：