Cloud KMS - 加密任务

借助 Cloud KMS - 加密任务，您可以使用 Cloud Key Management Service (Cloud KMS) 密钥加密文本或二进制内容。文本或二进制内容必须先进行 base-64 编码，然后才能由 Cloud KMS 加密。如需恢复加密的数据，请使用 Cloud KMS - 解密任务。

Cloud KMS 是一项 Google Cloud 服务，可让您在单个集中式云服务中创建、导入和管理加密密钥以及执行加密操作。

准备工作

在配置 Cloud KMS - 加密任务之前，请确保在您的 Google Cloud 项目中执行以下任务：

启用 Cloud Key Management Service (KMS) API (cloudkms.googleapis.com)。
启用 Cloud Key Management Service (KMS) API
创建身份验证配置文件。应用集成会使用身份验证配置文件连接到身份验证端点以完成 Cloud KMS - 加密任务。
注意：如果您要创建服务账号类型的身份验证配置文件，请确保为服务账号分配了可提供以下 IAM 权限的 IAM 角色：
- cloudkms.cryptoKeyVersions.useToEncrypt
如需了解 IAM 权限以及授予这些权限的预定义 IAM 角色，请参阅 IAM 权限参考文档。

如需了解如何向服务账号授予其他角色或权限，请参阅授予、更改和撤消访问权限。

配置 Cloud KMS - 加密任务

在 Google Cloud 控制台中，前往 Application Integration 页面。
转到 Application Integration
在导航菜单中，点击集成。
系统随即会显示集成页面，其中列出了 Google Cloud 项目中可用的所有集成。
选择现有集成，或点击创建集成以创建新的集成。
要创建新的集成，请执行以下操作：
1. 在创建集成窗格中输入名称和说明。
2. 选择集成的区域。
  注意：区域下拉列表仅列出您的 Google Cloud 项目中预配的区域。如需预配新区域，请点击 Enable Region。如需了解详情，请参阅启用新区域。
3. 选择用于集成的服务账号。您可以随时在集成工具栏的 Integration summary（集成摘要）窗格中更改或更新集成的服务账号详细信息。
  注意：只有当您为所选区域启用了集成治理功能时，系统才会显示用于选择服务账号的选项。
4. 点击创建。
这将在集成编辑器中打开集成。
在集成编辑器导航栏中，点击任务以查看可用任务和连接器的列表。
点击 Cloud KMS - encrypt（Cloud KMS - 加密）元素，并将其放置到集成编辑器中。
点击设计器上的 Cloud KMS - encrypt（Cloud KMS - 加密）元素以查看 Cloud KMS - encrypt（Cloud KMS - 加密）任务配置窗格。
前往身份验证，然后选择您要使用的现有身份验证配置文件。
可选。如果您在配置此任务之前未创建身份验证配置文件，请点击 + New authentication profile（+ 新建身份验证配置文件），然后按照创建新的身份验证配置文件中所述的步骤操作。
前往 Task Input（任务输入），然后使用以下任务输入参数表配置显示的输入字段。
系统会自动保存对输入字段的更改。

任务输入参数

下表介绍了 Cloud KMS - 加密任务的输入参数：

属性	数据类型	说明
区域	字符串	密钥环的 Cloud KMS 位置。
ProjectsId	字符串	您的 Google Cloud 项目 ID。
KeyRingsId	字符串	密钥所在的密钥环的名称。
CryptoKeysId	字符串	要用于加密的密钥的名称。
请求	JSON	请参阅请求 JSON 结构。在请求正文的 `plaintext` 字段中指定要加密的 base64 编码文本。提示：您可以在 Linux 或 macOS 上使用 base64 命令或在 Windows 上使用 Base64.exe 命令对数据进行 base64 编码或解码。编程语言和脚本语言通常包含用于 base64 编码的库。如需查看命令行示例，请参阅 Cloud Vision API 文档中的 Base64 编码。

任务输出

Cloud KMS - 加密任务会返回包含加密的数据（采用 base64 编码格式）的响应。

错误处理策略

任务的错误处理策略指定当任务因暂时性错误而失败时要执行的操作。如需了解如何使用错误处理策略，以及了解不同类型的错误处理策略，请参阅错误处理策略。