Te recomendamos que accedas a Cloud Key Management Service a través de nuestras bibliotecas de cliente de las APIs de Google de alto rendimiento. Estas bibliotecas, que se conectan a la API gRPC de Cloud KMS, se proporcionan en varios lenguajes de programación populares.
También puedes acceder a Cloud KMS a través de nuestra API REST. Por lo tanto, cualquier idioma que admita el envío de solicitudes HTTP puede acceder a la API. Sin embargo, la mayoría de los usuarios preferirán una biblioteca de cliente más idiomática.
También hay una interfaz basada en la Web para Cloud KMS en la consola Google Cloud , que permite realizar operaciones de gestión de claves. Las operaciones de cifrado y descifrado no se pueden realizar desde la interfaz web.
Queremos que acceder a Cloud KMS sea un placer desde cualquier lenguaje y plataforma, y seguiremos trabajando en ello. Si no cumplimos tus expectativas en algún aspecto, háznoslo saber.
Plataformas
La forma en que los clientes acceden a la API puede variar ligeramente en función de la plataforma en la que se ejecute el código, sobre todo en lo que respecta a la autenticación. Las credenciales de aplicación predeterminadas de Google ocultan muchas de las diferencias, pero hay algunas cosas que debes tener en cuenta. Para obtener más información sobre la autenticación, consulta la descripción general de la autenticación.
Compute Engine y Google Kubernetes Engine
El software que se ejecuta en Compute Engine, incluidos los nodos de Google Kubernetes Engine, suele autenticarse mediante credenciales aprovisionadas automáticamente en el entorno con la cuenta de servicio adjunta. Lo mismo ocurre con Cloud KMS. Cuando crees una instancia, asegúrate de darle acceso al ámbito de OAuth https://www.googleapis.com/auth/cloudkms
(preferido porque admite el principio de mínimos accesos) o https://www.googleapis.com/auth/cloud-platform.
Por ejemplo:
gcloud compute instances create "instance-1" \
--zone "us-east1-b" \
--scopes "https://www.googleapis.com/auth/cloudkms"
Para obtener más información, consulta la documentación de Compute Engine o la documentación de GKE.
App Engine
Para usar Cloud KMS con App Engine, sigue estos pasos:
- Concede a tu cuenta de servicio de App Engine (
PROJECT_ID@appspot.gserviceaccount.com) permisos de gestión de identidades y accesos para gestionar o usar tus claves. - Usa las credenciales de aplicación predeterminadas y especifica el
ámbito
https://www.googleapis.com/auth/cloudkms. También puedes especificar el ámbitohttps://www.googleapis.com/auth/cloud-platform, pero incluye ámbitos más amplios que solo Cloud KMS.
Para obtener más información, consulta los artículos Acceder a la API y Controlar el acceso en la documentación de App Engine.
Autenticación del cliente
Si tu aplicación necesita autenticar a los usuarios directamente, puedes obtener y usar credenciales en su nombre. Para obtener más información, consulta el artículo Cuentas de usuario.