Zugriff auf die API

Kunden können über unsere REST API auf den Cloud Key Management Service zugreifen. Daher kann jede Sprache, die das Senden von HTTP-Anfragen unterstützt, auf die API zugreifen. Viele Nutzer bevorzugen jedoch eine idiomatischere Clientbibliothek.

Langfristig empfehlen wir Kunden, für bessere Leistungen gRPC zu verwenden. gRPC ist für App Engine jedoch noch nicht verfügbar und manche Entwickler sind möglicherweise mit den vorhandenen Google API-Clientbibliotheken besser vertraut. Also empfehlen wir derzeit die Bibliotheken, die auf unserer REST API basieren.

Es gibt auch eine webbasierte Schnittstelle für Cloud KMS auf der Cloud Console, die zentrale Managementabläufe ermöglicht. Ver- und Entschlüsselungsabläufe sind über die Webschnittstelle nicht möglich.

Wir möchten, dass der Zugriff auf Cloud KMS mit jeder Sprache und Plattform möglichst nutzerfreundlich ist, und arbeiten ständig daran. Wenn es dabei Verbesserungsmöglichkeiten gibt, teilen Sie uns das bitte mit.

Plattformen

Die Art des Zugriffs durch Kunden auf die API kann je nach Plattform, auf der der Code ausgeführt wird, unterschiedlich sein, vor allem in Bezug auf die Authentifizierung. Google-Standardanmeldedaten für Anwendungen abstrahieren viele der Unterschiede. Es sind jedoch einige Dinge zu beachten.

Google Compute Engine

Die in Compute Engine ausgeführte Software wird normalerweise mit Anmeldedaten authentifiziert, die durch das Standarddienstkonto automatisch für die Umgebung bereitgestellt werden. Das gilt auch für Cloud KMS. Wenn Sie eine Instanz erstellen, müssen Sie ihr Zugriff auf den OAuth-Bereich https://www.googleapis.com/auth/cloudkms (zu bevorzugen, weil er das Prinzip der geringstmöglichen Berechtigung unterstützt) oder https://www.googleapis.com/auth/cloud-platform gewähren.

Beispiel:

Befehlszeile

gcloud compute instances create instance-1 --zone us-east1-b --scopes=https://www.googleapis.com/auth/cloudkms

Weitere Informationen finden Sie in der Google Compute Engine-Dokumentation.

Google App Engine

App Engine ist unkompliziert. Sie verwenden einfach die Standardanmeldedaten für Anwendungen und geben den Bereich https://www.googleapis.com/auth/cloudkms (zu bevorzugen, weil er das Prinzip der geringstmöglichen Berechtigung unterstützt) oder https://www.googleapis.com/auth/cloud-platform an. Beachten Sie, dass Sie Ihrem App Engine-Dienstkonto PROJECT_NAME@appspot.gserviceaccount.com die IAM-Berechtigungen zuweisen müssen, um Ihre Schlüssel verwalten bzw. verwenden zu können.

Lokale Produktionsumgebung

Für Ihre lokale Produktionsumgebung ist die empfohlene Methode für die Authentifizierung bei einer Google Cloud Platform API, einschließlich Cloud KMS, die Verwendung eines Dienstkontos. Weitere Informationen zum Verwenden eines Dienstkontos finden Sie unter Erste Schritte bei der Authentifizierung.

Clientauthentifizierung

Wenn Ihre Anwendung Ihre Nutzer direkt authentifizieren muss, können Sie Anmeldedaten in ihrem Namen abrufen. Weitere Informationen finden Sie unter Als Endnutzer authentifizieren.

Entwicklerworkstation

Die Authentifizierung mithilfe eines Dienstkontos wird auch für Ihre Entwicklerworkstation empfohlen. Weitere Informationen zur Verwendung eines Dienstkontos finden Sie unter Erste Schritte bei der Authentifizierung.

Nicht-Google-Produktionsumgebung

Für eine Nicht-Google-Umgebung ist Folgendes erforderlich:

  1. Erstellen Sie ein Dienstkonto.
  2. Laden Sie eine JSON-Schlüsseldatei für dieses Dienstkonto herunter.
  3. Stellen Sie diese Schlüsseldatei in Ihrer Produktionsumgebung bereit.
  4. Laden Sie die Anmeldeinformationen aus der Schlüsseldatei in Ihren Code.

Dieser Vorgang wird in der Google Identity-Dokumentation ausführlich beschrieben.

Hat Ihnen diese Seite weitergeholfen? Teilen Sie uns Ihr Feedback mit:

Feedback geben zu...

Cloud KMS-Dokumentation