Accéder à l'API

Nous vous recommandons d'accéder à Cloud Key Management Service via les bibliothèques clientes des API Google à hautes performances. Ces bibliothèques, qui se connectent à l'API gRPC de Cloud KMS, sont fournies dans plusieurs langages de programmation courants.

Vous pouvez également accéder à Cloud KMS via notre API REST. Ainsi, tout langage compatible avec l'envoi de requêtes HTTP peut accéder à l'API. Cependant, la plupart des utilisateurs préfèrent une bibliothèque cliente plus idiomatique.

Il existe également une interface Web pour Cloud KMS sur Google Cloud Console, qui permet d'effectuer des opérations de gestion de clés. Les opérations de chiffrement et de déchiffrement ne peuvent pas être effectuées à partir de l'interface Web.

Nous souhaitons que l'accès à Cloud KMS soit aussi convivial que possible pour toutes les langages et sur toutes les plates-formes. Nous continuons à développer cette solution en ce sens. Si cette solution ne répond pas à vos attentes, veuillez nous contacter.

Plates-formes

La façon dont les clients accèdent à l'API peut varier en fonction de la plate-forme sur laquelle le code est exécuté, en particulier dans le cadre de l'authentification. Les identifiants par défaut de l'application Google permettent d'éliminer de nombreuses différences, mais veuillez noter les points suivants.

Compute Engine et Google Kubernetes Engine

Les logiciels exécutés sur Compute Engine, y compris les nœuds Google Kubernetes Engine, s'authentifient généralement à l'aide d'identifiants provisionnés automatiquement dans l'environnement par le biais du compte de service par défaut. C'est aussi le cas avec Cloud KMS. Lorsque vous créez une instance, assurez-vous de lui donner accès au champ d'application OAuth https://www.googleapis.com/auth/cloudkms (solution préférée, car compatible avec le principe du moindre privilège) ou https://www.googleapis.com/auth/cloud-platform.

Exemple :

gcloud compute instances create "instance-1" \
    --zone "us-east1-b" \
    --scopes "https://www.googleapis.com/auth/cloudkms"

Pour en savoir plus, consultez la documentation Compute Engine ou la documentation GKE.

App Engine

Pour utiliser Cloud KMS avec App Engine :

  1. Attribuez les autorisations Identity and Access Management au compte de service App Engine (PROJECT_NAME@appspot.gserviceaccount.com) pour gérer et/ou utiliser les clés.
  2. Utilisez les identifiants par défaut de l'application, puis spécifiez le champ d'application https://www.googleapis.com/auth/cloudkms. Vous pouvez également spécifier le champ d'application https://www.googleapis.com/auth/cloud-platform, mais il inclut des champs d'application plus étendus que Cloud KMS.

Pour en savoir plus, consultez les pages Accéder à l'API et Contrôler les accès dans la documentation d'App Engine.

Environnement de production sur site

Pour votre environnement de production sur site, la méthode recommandée pour s'authentifier auprès d'une API Google Cloud, y compris Cloud KMS, consiste à utiliser un compte de service. Pour savoir comment procéder, consultez la page Premiers pas avec l'authentification.

Authentification client

Si l'application doit authentifier directement les utilisateurs, vous pouvez obtenir et utiliser des identifiants en leur nom. Pour en savoir plus, consultez la section S'authentifier en tant qu'utilisateur final.

Poste de travail de développement

L'authentification à l'aide d'un compte de service est également recommandée pour votre poste de travail de développement. Pour en savoir plus sur l'utilisation d'un compte de service, consultez la page Premiers pas avec l'authentification.

Environnement de production non géré par Google

Pour un environnement non géré par Google, vous devez :

  1. Créer un compte de service
  2. Téléchargez un fichier de clé JSON associé au compte de service.
  3. Provisionnez ce fichier de clé dans l'environnement de production.
  4. Importez les identifiants à partir du fichier de clé dans le code.

Ce processus est décrit en détail dans la documentation Cloud Identity.