TenantSecret | Salesforce および Lightning プラットフォームのオブジェクトリファレンス

Data 型のテナントの秘密は、sandbox 組織では 4 時間に 1 回、本番組織では 24 時間に 1 回循環できます。SearchIndex 型のテナントの秘密は、7 日に 1 回循環できます。

この情報は、従来の暗号化ではなく Shield プラットフォームの暗号化について書かれています。

メモ

サポートされているコール

create()、query()、retrieve()、update()

項目

項目名	詳細
Description	型 textarea プロパティ Create、Nillable、Update 説明テナントの秘密の説明。
KeyDerivationMode	型 picklist プロパティ Create、Filter、Group、Restricted picklist、Sort 説明顧客が指定した鍵素材に適用される鍵派生モード。モードは次のとおりです。 PBKDF2 顧客が指定した鍵素材を Shield KMS が使用して派生データ暗号化鍵を作成します。 NONE 顧客が指定した鍵素材を Shield KMS が最終的なデータ暗号化鍵として使用して、データの暗号化と複合化を直接行います。 API バージョン 43.0 以降で使用できます。
SecretValue	型 base64 プロパティ Create、Nillable、Update 説明 base64 で符号化された、256 ビットの暗号化された秘密の値。
SecretValueCertificate	型 string プロパティ Create、Filter、Group、Nillable、Sort、Update 説明顧客が指定したテナントの秘密をアップロードする必要のある証明書。各証明書には一意の名前があります。
SecretValueHash	型 base64 プロパティ Create 説明アップロード済みの顧客が指定したテナントの秘密と一致するテナントの秘密ハッシュ。
Source	型 picklist プロパティ Create、Defaulted on create、Filter、Group、Restricted picklist、Sort 説明暗号化鍵素材の供給元。値は次のとおりです。 HSM Salesforce で生成されたテナントの秘密。 UPLOADED 顧客が指定したテナントの秘密またはデータ暗号化鍵。 REMOTE Salesforce 外部の鍵サービスから取得したテナントの秘密またはデータ暗号化鍵。API バージョン 44.0 以降で利用できます。 API バージョン 43.0 以降で使用できます。
Status	型 picklist プロパティ Filter、Group、Nillable、Restricted picklist、Sort、Update 説明テナントの秘密の状況。値は次のとおりです。有効新規または既存のデータを暗号化および復号化する場合に使用される可能性があります。アーカイブ済み新しいデータを暗号化できません。鍵が有効であったときにこの鍵を使用して以前に暗号化されたデータを復号化する場合に使用される可能性があります。破棄済みデータを暗号化および復号化することはできません。鍵が有効であったときにこの鍵を使用して暗号化されたデータを復号化することはできません。この鍵を使用して暗号化されたファイルおよび添付ファイルは、ダウンロードできなくなります。バージョン 44.0 以降では、API を使用して Status 項目を更新できます。
型	型 picklist プロパティ Create、Defaulted on create、Filter、Group、Restricted picklist、Sort 説明テナントの秘密の種別。Type 項目は、API バージョン 39.0 以降で使用できます。Type 選択リストには次の値が表示されます。 Data - Salesforce データベースに保存されているデータ。暗号化された項目、ファイル、および添付ファイルのデータを含みますが、検索インデックスファイルのデータは含まれません。API バージョン 34.0 で作成されたテナントの秘密は、Data 型にデフォルト設定されます。 SearchIndex — 検索インデックスファイル (API バージョン 39.0 以降で使用可能)。 Analytics — Einstein Analytics データ (API バージョン 39.0 以��で使用可能)。 DeterministicData — Salesforce データベースに保存されているデータ。暗号化された項目、ファイル、および添付ファイルのデータを含みますが、検索インデックスファイルのデータは含まれません (API バージョン 39.0 以降で使用可能)。 EventBus — 変更データキャプチャイベントデータ (API バージョン 43.0 以降で使用可能)。変更データキャプチャはパイロットの一部です。
Version	型 int プロパティ Filter、Group、idLookup、Sort 説明この秘密のバージョン番号。バージョン番号は組織内で一意です。

使用方法

このオブジェクトを使用して、組織固有のテナントの秘密または顧客が指定した鍵素材を作成または更新します。

例 1: テナントの秘密の作成と有効化を自動化するソリューションを次のように作成します。

まず、テナントの秘密を作成する Apex クラスを作成します。テナントの秘密の値を指定して、特定の型のデータを暗号化します。

Type は、API バージョン 39.0 以降で使用できます。Type は省略可能です。すべてのテナントの秘密はData 型にデフォルト設定されます。
メモ
指定された間隔で実行されるように Apex クラスをスケジュール設定します。
この Apex コードは、ジョブをスケジュール設定するために 1 回実行するだけで十分です。次のコードで、ジョブが 90 日ごとに実行されます。
ジョブがスケジュール設定されたことを確認します。
ジョブの実行後にテナントの秘密が作成されたことを確認します。

例 2: 顧客が指定したテナントの秘密または顧客が指定したデータ暗号化鍵をアップロードします。

顧客が指定した (BYOK) 鍵素材と互換性のある証明書を作成します。「Platform Encryption REST API Developer Guide (プラットフォームの暗号化 REST API 開発者ガイド)」の「Generate a BYOK-Compatible Certificate (BYOK 互換証明書の生成)」を参照してください。
その後、一致する鍵素材と、鍵素材のハッシュをアップロードします。互換性のある証明書の一意の名前を含めます。鍵素材は暗号化形式でアップロードされます。

このスクリプトを使用して、顧客が指定したテナントの秘密およびテナントの秘密ハッシュを生成できます。
鍵素材がアップロードされたことを確認します。

例 3: 鍵素材をアップロードするときに鍵ごとに鍵派生を除外します。鍵素材をアップロードする場合、'Source':UPLOADED および 'KeyDerivationMode':'NONE' を指定し、SecretValueCertificate、SecretValue、および SecretValueHash に null 以外の値を設定します。

例 4: Data 型のテナントの秘密をインポートします。

例 5: ファイルに secret.SecretValue を書き込んで、テナントの秘密をエクスポートします。次に、SearchIndex 型のテナントの秘密を使用する方法の例を示します。

例 6: Data 型のテナントの秘密を破棄します。

テナントの秘密は、組織およびテナントの秘密を適用する特定のデータに対して一意です。テナントの秘密を破棄すると、以前にエクスポートした鍵を Salesforce にインポートし直さない限り、関連データにアクセスできなくなります。

警告

例 7: テナントの秘密の Status を Archived から Destroyed に変更します。SecretValue および新しいテナントの秘密の混在状況を含めます。

Cache-Only Key Service の顧客は、最新バージョンのキャッシュのみの鍵のテナントの秘密の混在状況を変更できますが、それよりも古いテナントの秘密のバージョンの混在状況は変更できません。