復号と運用
ダッシュボードでブラウザ内復号
CLIの--decryptフラグで復号可能
環境変数と同一の権限モデル適用
全復号操作を監査ログに記録
出典:vercel.com
詳細を読む
Vercelは、サーバーレスワークフロー基盤「Vercel Workflow」において、すべてのユーザーデータに対するエンドツーエンド暗号化を標準機能として提供開始しました。開発者側のコード変更は一切不要です。
暗号化の対象は、ワークフローの入力値、ステップの引数・戻り値、フックペイロード、ストリームデータなど、イベントログに書き込まれるすべてのデータです。APIキーやトークン、ユーザー認証情報といった機密データも安全に受け渡しできるようになります。
技術的には、各デプロイに固有の暗号鍵が割り当てられ、ワークフロー実行ごとにHKDF-SHA256で鍵を導出します。データはAES-256-GCM方式で暗号化され、機密性と完全性の両方が担保される設計です。
復号はWebダッシュボードまたはCLIから実行できます。ダッシュボードではWeb Crypto APIを用いてブラウザ内で完結するため、観測サーバーが平文データに触れることはありません。アクセス権限は環境変数の閲覧権限と連動しています。
すべての復号リクエストは監査ログに記録され、チーム全体でアクセス状況を把握できます。また、カスタム実装向けにgetEncryptionKeyForRun()メソッドを提供しており、独自のWorld実装でも暗号化機能を利用可能です。