Accesso all'API

Ti consigliamo di accedere a Cloud Key Management Service tramite le nostre librerie client delle API di Google ad alte prestazioni. Queste librerie, che si connettono all'API gRPC di Cloud KMS, sono fornite in diversi linguaggi di programmazione comuni.

Puoi anche accedere a Cloud KMS tramite la nostra API REST. Pertanto, qualsiasi linguaggio che supporta l'invio di richieste HTTP può accedere all'API. Tuttavia, la maggior parte degli utenti preferirà una libreria client più idiomatica.

È inoltre disponibile un'interfaccia basata sul web per Cloud KMS nella console Google Cloud, che consente di eseguire operazioni di gestione delle chiavi. Non è possibile eseguire operazioni di crittografia e decrittografia dall'interfaccia web.

Vogliamo rendere l'accesso a Cloud KMS un'esperienza piacevole da ogni lingua e piattaforma e continueremo a lavorare in questa direzione. Se non soddisfiamo le tue aspettative, non esitare a contattarci.

Piattaforme

Il modo in cui i client accedono all'API può variare leggermente a seconda della piattaforma su cui viene eseguito il codice, in particolare in relazione all'autenticazione. Le Credenziali predefinite dell'applicazione Google rimuovono molte delle differenze, ma ci sono ancora alcune cose da tenere a mente. Per ulteriori informazioni sull'autenticazione, consulta la panoramica dell'autenticazione.

Compute Engine e Google Kubernetes Engine

Il software in esecuzione su Compute Engine, inclusi i nodi Google Kubernetes Engine, solitamente si autentica utilizzando le credenziali di cui è stato eseguito il provisioning automatico nell'ambiente utilizzando l'account di servizio collegato. Lo stesso vale per Cloud KMS. Assicurati che, quando crei un'istanza, le assegni l'accesso all'ambito OAuth https://www.googleapis.com/auth/cloudkms (preferibile perché supporta il principio del privilegio minimo) o https://www.googleapis.com/auth/cloud-platform.

Ad esempio:

gcloud compute instances create "instance-1" \
    --zone "us-east1-b" \
    --scopes "https://www.googleapis.com/auth/cloudkms"

Per ulteriori informazioni, consulta la documentazione di Compute Engine o la documentazione di GKE.

App Engine

Per utilizzare Cloud KMS con App Engine:

  1. Concedi all'account di servizio App Engine (PROJECT_ID@appspot.gserviceaccount.com) le autorizzazioni di Identity and Access Management per gestire e/o utilizzare le chiavi.
  2. Utilizza le Credenziali predefinite dell'applicazione e specifica l'ambito https://www.googleapis.com/auth/cloudkms. Puoi anche specificare l'ambito https://www.googleapis.com/auth/cloud-platform, ma include ambiti più ampi rispetto a Cloud KMS.

Per saperne di più, consulta Accedere all'API e Controllare l'accesso nella documentazione di App Engine.

Autenticazione client

Se la tua applicazione deve autenticare direttamente gli utenti, puoi ottenere e utilizzare le credenziali per loro conto. Per saperne di più, consulta Account utente.