Accéder à l'API

Nous vous recommandons d'accéder à Cloud Key Management Service via nos bibliothèques clientes des API Google hautes performances. Ces bibliothèques, qui se connectent à l'API gRPC de Cloud KMS, sont fournies dans plusieurs langages de programmation courants.

Vous pouvez également accéder à Cloud KMS via notre API REST. Ainsi, tout langage compatible avec l'envoi de requêtes HTTP peut accéder à l'API. Cependant, la plupart des utilisateurs préféreront une bibliothèque cliente plus idiomatique.

Il existe également une interface Web pour Cloud KMS dans la console Google Cloud, qui permet d'effectuer des opérations de gestion des clés. Les opérations de chiffrement et de déchiffrement ne peuvent pas être effectuées à partir de l'interface Web.

Nous souhaitons que l'accès à Cloud KMS soit aussi convivial que possible pour toutes les langages et sur toutes les plates-formes. Nous continuons à développer cette solution en ce sens. Si cette solution ne répond pas à vos attentes, veuillez nous contacter.

Plates-formes

La manière dont les clients accèdent à l'API peut varier légèrement en fonction de la plate-forme sur laquelle le code s'exécute, en particulier en ce qui concerne l'authentification. Les identifiants par défaut de l'application Google éliminent de nombreuses différences, mais doivent encore tenir compte des points suivants. Pour en savoir plus sur l'authentification, consultez la présentation de l'authentification.

Compute Engine et Google Kubernetes Engine

Les logiciels exécutés sur Compute Engine, y compris les nœuds Google Kubernetes Engine, s'authentifient généralement à l'aide d'identifiants automatiquement provisionnés dans l'environnement via le compte de service associé. Il en va de même pour Cloud KMS. Lorsque vous créez une instance, assurez-vous de lui donner accès au champ d'application OAuth https://www.googleapis.com/auth/cloudkms (recommandé, car il respecte le principe du moindre privilège) ou https://www.googleapis.com/auth/cloud-platform.

Exemple :

gcloud compute instances create "instance-1" \
    --zone "us-east1-b" \
    --scopes "https://www.googleapis.com/auth/cloudkms"

Pour en savoir plus, consultez la documentation Compute Engine ou la documentation GKE.

App Engine

Pour utiliser Cloud KMS avec App Engine :

  1. Attribuez à votre compte de service App Engine (PROJECT_ID@appspot.gserviceaccount.com) les autorisations Identity and Access Management pour gérer et/ou utiliser vos clés.
  2. Utilisez les identifiants par défaut de l'application et spécifiez le champ d'application https://www.googleapis.com/auth/cloudkms. Vous pouvez également spécifier le champ d'application https://www.googleapis.com/auth/cloud-platform, mais celui-ci inclut des champs d'application plus larges que Cloud KMS.

Pour en savoir plus, consultez les pages Accéder à l'API et Contrôler les accès dans la documentation d'App Engine.

Authentification client

Si l'application doit authentifier directement les utilisateurs, vous pouvez obtenir et utiliser des identifiants en leur nom. Pour en savoir plus, consultez Comptes utilisateur.