Nous vous recommandons d'accéder à Cloud Key Management Service via nos bibliothèques clientes des API Google hautes performances. Ces bibliothèques, qui se connectent à l'API gRPC de Cloud KMS, sont fournies dans plusieurs langages de programmation courants.
Vous pouvez également accéder à Cloud KMS via notre API REST. Ainsi, tout langage compatible avec l'envoi de requêtes HTTP peut accéder à l'API. Cependant, la plupart des utilisateurs préféreront une bibliothèque cliente plus idiomatique.
Il existe aussi une interface Web pour Cloud KMS dans la console Google Cloud, ce qui vous permet les opérations de gestion des clés. Les opérations de chiffrement et de déchiffrement ne peuvent pas être effectuées à partir de l'interface Web.
Nous souhaitons que l'accès à Cloud KMS soit aussi convivial que possible pour toutes les langages et sur toutes les plates-formes. Nous continuons à développer cette solution en ce sens. Si cette solution ne répond pas à vos attentes, veuillez nous contacter.
Plates-formes
La façon dont les clients accèdent à l'API peut varier en fonction de la plate-forme sur laquelle le code est exécuté, en particulier dans le cadre de l'authentification. Les identifiants par défaut de l'application Google permettent d'éliminer de nombreuses différences, mais veuillez noter les points suivants. Pour en savoir plus sur l'authentification, consultez la section Présentation de l'authentification.
Compute Engine et Google Kubernetes Engine
Les logiciels exécutés sur Compute Engine, y compris les nœuds Google Kubernetes Engine,
s'authentifie généralement à l'aide d'identifiants provisionnés automatiquement
à l'aide du compte de service associé. La
il en va de même pour Cloud KMS. Assurez-vous que lorsque vous créez un
vous lui donnez accès à l'instance https://www.googleapis.com/auth/cloudkms
(recommandé, car il respecte le principe du moindre privilège) ;
https://www.googleapis.com/auth/cloud-platform
habilitation OAuth.
Exemple :
gcloud compute instances create "instance-1" \ --zone "us-east1-b" \ --scopes "https://www.googleapis.com/auth/cloudkms"
Pour en savoir plus, consultez la documentation Compute Engine ou la documentation GKE.
App Engine
Pour utiliser Cloud KMS avec App Engine :
- Attribuer à votre compte de service App Engine
(
PROJECT_ID@appspot.gserviceaccount.com
) Autorisations Identity and Access Management pour gérer et/ou utiliser vos clés. - Utilisez les identifiants par défaut de l'application et spécifiez le
champ d'application
https://www.googleapis.com/auth/cloudkms
. Vous pouvez également spécifier le champ d'applicationhttps://www.googleapis.com/auth/cloud-platform
, mais il inclut des champs d'application plus larges que Cloud KMS.
Pour en savoir plus, consultez les pages Accéder à l'API et Contrôler les accès dans la documentation d'App Engine.
Authentification client
Si l'application doit authentifier directement les utilisateurs, vous pouvez obtenir et utiliser des identifiants en leur nom. Pour en savoir plus, consultez Comptes utilisateur :