Te recomendamos acceder a Cloud Key Management Service a través de nuestras bibliotecas cliente de la API de Google de alto rendimiento. Estas bibliotecas, que se conectan a la API de gRPC de Cloud KMS, se proporcionan en varios lenguajes de programación populares.
También puedes acceder a Cloud KMS a través de nuestra API de REST. Por lo tanto, cualquier lenguaje que sea compatible con el envío de solicitudes HTTP puede acceder a la API. Sin embargo, la mayoría de los usuarios preferirán una biblioteca cliente más idiomática.
También hay una interfaz basada en la Web para Cloud KMS en la consola de Google Cloud, que permite hacer lo siguiente: las operaciones de administración de claves. Las operaciones de encriptación y desencriptación no se pueden realizar desde la interfaz web.
Queremos que acceder a Cloud KMS desde cualquier lenguaje o plataforma sea una experiencia agradable y seguiremos trabajando para que así sea. Envíanos tus comentarios si hay aspectos que podamos mejorar.
Plataformas
La forma en que los clientes acceden a la API puede variar un poco según la plataforma en la cual en ejecución, especialmente en lo que respecta a la autenticación. Las credenciales predeterminadas de la aplicación de Google abstraen muchos de las diferencias, pero hay algunas cosas que hay que tener en cuenta. Para ver más información sobre autenticación, consulta la descripción general de la autenticación.
Compute Engine y Google Kubernetes Engine
Software que se ejecuta en Compute Engine, incluidos los nodos de Google Kubernetes Engine,
por lo general, se autentica con credenciales aprovisionadas automáticamente en la
con la cuenta de servicio conectada. El
lo mismo ocurre con Cloud KMS. Asegúrate de que cuando crees un
debes otorgarle acceso a https://www.googleapis.com/auth/cloudkms
(opción preferida porque admite el principio de privilegio mínimo) o
https://www.googleapis.com/auth/cloud-platform
permiso de OAuth.
Por ejemplo:
gcloud compute instances create "instance-1" \ --zone "us-east1-b" \ --scopes "https://www.googleapis.com/auth/cloudkms"
Para obtener más información, consulta la documentación de Compute Engine o la documentación de GKE.
App Engine
Para usar Cloud KMS con App Engine, haz lo siguiente:
- Proporciona tu cuenta de servicio de App Engine
(
PROJECT_ID@appspot.gserviceaccount.com
) Permisos de Identity and Access Management para administrar o usar tus claves - Usa las credenciales predeterminadas de la aplicación y especifica la
alcance
https://www.googleapis.com/auth/cloudkms
. También puedes especificar alcancehttps://www.googleapis.com/auth/cloud-platform
, pero incluye alcances más amplios que solo Cloud KMS.
Para obtener más información, consulta Acceso a la API y Control de acceso en la documentación de App Engine.
Autenticación de clientes
Puedes obtener y usar credenciales en nombre de tus usuarios, si tu aplicación necesita autenticarlos directamente. Para obtener más información, consulta Cuentas de usuario.