Recomendamos que você acesse o Cloud Key Management Service com nossas bibliotecas de cliente das APIs do Google de alto desempenho. Essas bibliotecas, que se conectam à API gRPC do Cloud KMS, são fornecidas em várias linguagens de programação conhecidas.
Você também pode acessar o Cloud KMS por meio da nossa API REST. Assim, qualquer linguagem compatível com o envio de solicitações HTTP pode acessar a API. No entanto, a maioria dos usuários prefere uma biblioteca de cliente mais idiomática.
Há também uma interface baseada na Web Cloud KMS no console do Google Cloud, que permite operações de gerenciamento de chaves. As operações de criptografia e descriptografia não são executadas a partir da interface da Web.
Nosso objetivo é facilitar o acesso de todos os idiomas e plataformas ao Cloud KMS. Esse será um trabalho contínuo. Se de alguma forma ainda não atingimos as expectativas, avise-nos.
Plataformas
A forma como os clientes acessam a API pode variar um pouco dependendo da plataforma está em execução, especialmente com relação à autenticação. O Application Default Credentials do Google abstrai muitos as diferenças, mas ainda há coisas a ter em mente. Para mais informações sobre autenticação, consulte a visão geral da autenticação.
Compute Engine e Google Kubernetes Engine
O software em execução no Compute Engine, incluindo os nós do Google Kubernetes Engine, normalmente é autenticado usando credenciais provisionadas automaticamente no ambiente usando a conta de serviço anexada. O
o mesmo se aplica ao Cloud KMS. Ao criar
você concede a ele acesso ao https://www.googleapis.com/auth/cloudkms
(preferível porque apoia o princípio de privilégio mínimo) ou
https://www.googleapis.com/auth/cloud-platform
escopo do OAuth.
Exemplo:
gcloud compute instances create "instance-1" \ --zone "us-east1-b" \ --scopes "https://www.googleapis.com/auth/cloudkms"
Para mais informações, consulte a documentação do Compute Engine ou a documentação do GKE.
App Engine
Para usar o Cloud KMS com o App Engine:
- Forneça à sua conta de serviço do App Engine (
PROJECT_ID@appspot.gserviceaccount.com
) permissões do gerenciamento de identidade e acesso para gerenciar e/ou usar suas chaves. - Use o Application Default Credentials e especifique o
escopo
https://www.googleapis.com/auth/cloudkms
. Também é possível especificar escopohttps://www.googleapis.com/auth/cloud-platform
, mas inclui escopos mais amplos do que apenas o Cloud KMS.
Para mais informações, consulte Como acessar a API e Como controlar o acesso na documentação do App Engine.
Autenticação do cliente
Se for preciso que o aplicativo autentique os usuários diretamente, consiga e use credenciais em nome deles. Para saber mais, consulte Contas de usuário.