Accesso all'API

Ti consigliamo di accedere a Cloud Key Management Service tramite le nostre librerie client delle API di Google ad alte prestazioni. Queste librerie, che si connettono all'API gRPC Cloud KMS, sono fornite in diversi linguaggi di programmazione popolari.

Puoi anche accedere a Cloud KMS tramite la nostra API REST. Pertanto, qualsiasi linguaggio che supporti l'invio di richieste HTTP può accedere all'API. Tuttavia, la maggior parte degli utenti preferirà una libreria client più idiomatica.

È inoltre disponibile un'interfaccia basata sul web per Cloud KMS nella console Google Cloud, che consente le operazioni di gestione delle chiavi. Le operazioni di crittografia e decriptazione non possono essere eseguite dall'interfaccia web.

Vogliamo rendere l'accesso a Cloud KMS un piacere per ogni lingua e piattaforma e il nostro lavoro non si ferma mai. Se riusciamo a farlo, faccelo sapere.

Piattaforme

Il modo in cui i client accedono all'API può variare leggermente a seconda della piattaforma su cui viene eseguito il codice, in particolare per quanto riguarda l'autenticazione. Le credenziali predefinite dell'applicazione Google eliminano molte delle differenze, ma ci sono ancora alcuni aspetti da tenere a mente. Per ulteriori informazioni sull'autenticazione, consulta la panoramica dell'autenticazione.

Compute Engine e Google Kubernetes Engine

Il software in esecuzione su Compute Engine, inclusi i nodi di Google Kubernetes Engine, in genere esegue l'autenticazione utilizzando credenziali di cui è stato eseguito il provisioning automatico nell'ambiente utilizzando l'account di servizio collegato. Lo stesso vale per Cloud KMS. Quando crei un'istanza, assicurati di concedere l'accesso all'ambito OAuth https://www.googleapis.com/auth/cloudkms (consigliato perché supporta il principio del privilegio minimo) o https://www.googleapis.com/auth/cloud-platform.

Ad esempio:

gcloud compute instances create "instance-1" \
    --zone "us-east1-b" \
    --scopes "https://www.googleapis.com/auth/cloudkms"

Per ulteriori informazioni, consulta la documentazione di Compute Engine o la documentazione di GKE.

App Engine

Per utilizzare Cloud KMS con App Engine:

  1. Concedi al tuo account di servizio App Engine (PROJECT_ID@appspot.gserviceaccount.com) le autorizzazioni di Identity and Access Management per gestire e/o utilizzare le tue chiavi.
  2. Utilizza Credenziali predefinite dell'applicazione e specifica l'ambito https://www.googleapis.com/auth/cloudkms. Puoi anche specificare l'ambito https://www.googleapis.com/auth/cloud-platform, ma include ambiti più ampi rispetto a Cloud KMS.

Per ulteriori informazioni, consulta gli argomenti Accesso all'API e Controllo dell'accesso nella documentazione di App Engine.

Autenticazione client

Se la tua applicazione deve autenticare gli utenti direttamente, puoi ottenere e utilizzare le credenziali per loro conto. Per scoprire di più, consulta Account utente.