Auf die API zugreifen

Kunden können über unsere REST API auf den Cloud Key Management Service zugreifen. Daher kann jede Sprache, die das Senden von HTTP-Anfragen unterstützt, auf die API zugreifen. Viele Nutzer bevorzugen jedoch eine idiomatischere Clientbibliothek.

Langfristig empfehlen wir Kunden, für bessere Leistungen gRPC zu verwenden. Manche Entwickler sind jedoch möglicherweise mit den vorhandenen Google API-Clientbibliotheken besser vertraut. Daher empfehlen wir derzeit die Bibliotheken, die auf unserer REST API basieren.

Es gibt auch eine webbasierte Oberfläche für Cloud KMS in der Google Cloud Console, die wichtige Verwaltungsvorgänge ermöglicht. Ver- und Entschlüsselungsvorgänge sind über die Weboberfläche möglich.

Wir möchten, dass der Zugriff auf Cloud KMS mit jeder Sprache und Plattform möglichst nutzerfreundlich ist, und arbeiten ständig daran. Wenn es dabei Verbesserungsmöglichkeiten gibt, teilen Sie uns das bitte mit.

Plattformen

Die Art des Zugriffs durch Kunden auf die API kann je nach Plattform, auf der der Code ausgeführt wird, unterschiedlich sein, vor allem in Bezug auf die Authentifizierung. Google-Standardanmeldedaten für Anwendungen abstrahieren viele der Unterschiede. Es sind jedoch einige Dinge zu beachten.

Compute Engine

In Compute Engine ausgeführte Software wird normalerweise mit Anmeldedaten authentifiziert, die durch das Standarddienstkonto automatisch für die Umgebung bereitgestellt werden. Das gilt auch für Cloud KMS. Wenn Sie eine Instanz erstellen, müssen Sie ihr Zugriff auf den OAuth-Bereich https://www.googleapis.com/auth/cloudkms (zu bevorzugen, weil er das Prinzip der geringstmöglichen Berechtigung unterstützt) oder https://www.googleapis.com/auth/cloud-platform gewähren.

Beispiel:

Befehlszeile

gcloud compute instances create instance-1 \
  --zone us-east1-b \
  --scopes=https://www.googleapis.com/auth/cloudkms

Weitere Informationen finden Sie in der Compute Engine-Dokumentation.

App Engine

App Engine ist unkompliziert. Sie verwenden einfach die Standardanmeldedaten für Anwendungen und geben den Bereich https://www.googleapis.com/auth/cloudkms (zu bevorzugen, weil er das Prinzip der geringstmöglichen Berechtigung unterstützt) oder https://www.googleapis.com/auth/cloud-platform an. Beachten Sie, dass Sie Ihrem App Engine-Dienstkonto PROJECT_NAME@appspot.gserviceaccount.com die entsprechenden Cloud Identity and Access Management-Berechtigungen gewähren müssen, um Ihre Schlüssel verwalten bzw. verwenden zu können.

Lokale Produktionsumgebung

Für Ihre lokale Produktionsumgebung ist die empfohlene Methode für die Authentifizierung bei einer Google Cloud API, einschließlich Cloud KMS, die Verwendung eines Dienstkontos. Weitere Informationen zum Verwenden eines Dienstkontos finden Sie unter Erste Schritte bei der Authentifizierung.

Clientauthentifizierung

Wenn Ihre Anwendung Ihre Nutzer direkt authentifizieren muss, können Sie Anmeldedaten in ihrem Namen abrufen. Weitere Informationen finden Sie unter Als Endnutzer authentifizieren.

Entwicklerworkstation

Die Authentifizierung mithilfe eines Dienstkontos wird auch für Ihre Entwicklerworkstation empfohlen. Weitere Informationen zur Verwendung eines Dienstkontos finden Sie unter Erste Schritte bei der Authentifizierung.

Produktionsumgebung, die nicht von Google verwaltet wird

Bei Umgebungen, die nicht von Google verwaltet werden, ist Folgendes erforderlich:

  1. Dienstkonto erstellen
  2. Laden Sie eine JSON-Schlüsseldatei für dieses Dienstkonto herunter.
  3. Stellen Sie diese Schlüsseldatei in Ihrer Produktionsumgebung bereit.
  4. Laden Sie die Anmeldeinformationen aus der Schlüsseldatei in Ihren Code.

Dieser Vorgang wird ausführlich in der Cloud Identity-Dokumentationbeschrieben.