Cette page a été traduite par l'API Cloud Translation.
Switch to English

Accéder à l'API

Les clients peuvent accéder à Cloud Key Management Service via l'API REST. Ainsi, tout langage compatible avec l'envoi de requêtes HTTP peut accéder à l'API. Cependant, de nombreux utilisateurs préféreront une bibliothèque cliente plus idiomatique.

À long terme, nous demanderons aux clients d'utiliser gRPC, qui intègre des améliorations substantielles des performances. Cependant, certains développeurs connaissent mieux les bibliothèques clientes pour les API Google existantes. Ainsi, nous vous recommandons actuellement d'employer les bibliothèques basées sur l'API REST.

Il existe également une interface Web pour Cloud KMS sur Google Cloud Console, qui permet d'effectuer des opérations de gestion de clés. Les opérations de chiffrement et de déchiffrement ne peuvent pas être effectuées à partir de l'interface Web.

Nous souhaitons que l'accès à Cloud KMS soit aussi convivial que possible pour toutes les langages et sur toutes les plates-formes. Nous continuons à développer cette solution en ce sens. Si cette solution ne répond pas à vos attentes, veuillez nous contacter.

Plates-formes

La façon dont les clients accèdent à l'API peut varier en fonction de la plate-forme sur laquelle le code est exécuté, en particulier dans le cadre de l'authentification. Les identifiants par défaut de l'application Google permettent d'éliminer de nombreuses différences, mais veuillez noter les points suivants.

Compute Engine et Google Kubernetes Engine

Les logiciels exécutés sur Compute Engine, y compris les nœuds Google Kubernetes Engine, s'authentifient généralement à l'aide d'identifiants provisionnés automatiquement dans l'environnement par le biais du compte de service par défaut. C'est aussi le cas avec Cloud KMS. Lorsque vous créez une instance, assurez-vous de lui donner accès au champ d'application OAuth https://www.googleapis.com/auth/cloudkms (solution préférée, car compatible avec le principe du moindre privilège) ou https://www.googleapis.com/auth/cloud-platform.

Exemple :

gcloud compute instances create "instance-1" \
    --zone "us-east1-b" \
    --scopes "https://www.googleapis.com/auth/cloudkms"

Pour en savoir plus, consultez la documentation Compute Engine ou la documentation GKE.

App Engine

Pour utiliser Cloud KMS avec App Engine :

  1. Attribuez les autorisations Identity and Access Management au compte de service App Engine (PROJECT_NAME@appspot.gserviceaccount.com) pour gérer et/ou utiliser les clés.
  2. Utilisez les identifiants par défaut de l'application, puis spécifiez le champ d'application https://www.googleapis.com/auth/cloudkms. Vous pouvez également spécifier le champ d'application https://www.googleapis.com/auth/cloud-platform, mais il inclut des champs d'application plus étendus que Cloud KMS.

Pour en savoir plus, consultez les pages Accéder à l'API et Contrôler les accès dans la documentation d'App Engine.

Environnement de production sur site

Pour votre environnement de production sur site, la méthode recommandée pour s'authentifier auprès d'une API Google Cloud, y compris Cloud KMS, consiste à utiliser un compte de service. Pour savoir comment procéder, consultez la page Premiers pas avec l'authentification.

Authentification client

Si l'application doit authentifier directement les utilisateurs, vous pouvez obtenir et utiliser des identifiants en leur nom. Pour en savoir plus, consultez la section S'authentifier en tant qu'utilisateur final.

Poste de travail de développement

L'authentification à l'aide d'un compte de service est également recommandée pour votre poste de travail de développement. Pour en savoir plus sur l'utilisation d'un compte de service, consultez la page Premiers pas avec l'authentification.

Environnement de production non géré par Google

Pour un environnement non géré par Google, vous devez :

  1. Créer un compte de service
  2. Téléchargez un fichier de clé JSON associé au compte de service.
  3. Provisionnez ce fichier de clé dans l'environnement de production.
  4. Importez les identifiants à partir du fichier de clé dans le code.

Ce processus est décrit en détail dans la documentation Cloud Identity.