Admin API aufrufen

Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Wir empfehlen, auf unseren Cloud Key Management Service über unsere leistungsstarken Google API-Clientbibliotheken zuzugreifen. Diese Bibliotheken, die eine Verbindung zur Cloud KMS gRPC API herstellen, sind in mehreren gängigen Programmiersprachen verfügbar.

Sie können Cloud KMS auch über unsere REST API aufrufen. Daher kann jede Sprache, die das Senden von HTTP-Anfragen unterstützt, auf die API zugreifen. Die meisten Nutzer bevorzugen jedoch eine idiomatischere Clientbibliothek.

Es gibt auch eine webbasierte Schnittstelle für Cloud KMS in der Google Cloud Console, die wichtige Verwaltungsvorgänge ermöglicht. Ver- und Entschlüsselungsvorgänge sind über die Weboberfläche möglich.

Wir möchten, dass der Zugriff auf Cloud KMS mit jeder Sprache und Plattform möglichst nutzerfreundlich ist, und arbeiten ständig daran. Wenn es dabei Verbesserungsmöglichkeiten gibt, teilen Sie uns das bitte mit.

Plattformen

Wie Clients auf die API zugreifen, hängt von der Plattform ab, auf der der Code ausgeführt wird, insbesondere in Bezug auf die Authentifizierung. Bei den Standardanmeldedaten für Google-Anwendungen werden viele der Unterschiede abgetan, es müssen jedoch noch einige Dinge beachtet werden. Weitere Informationen zur Authentifizierung finden Sie in der Authentifizierungsübersicht.

Compute Engine und Google Kubernetes Engine

In Compute Engine ausgeführte Software, einschließlich Google Kubernetes Engine-Knoten, authentifiziert sich normalerweise mit Anmeldedaten, die automatisch in der Umgebung mithilfe des angehängten Dienstkontos bereitgestellt werden. Dasselbe gilt für Cloud KMS. Achten Sie beim Erstellen einer Instanz darauf, dass Sie ihr Zugriff auf den OAuth-Bereich https://www.googleapis.com/auth/cloudkms (bevorzugt, weil er das Prinzip der geringsten Berechtigung unterstützt) oder https://www.googleapis.com/auth/cloud-platform gewährt.

Beispiel:

gcloud compute instances create "instance-1" \
    --zone "us-east1-b" \
    --scopes "https://www.googleapis.com/auth/cloudkms"

Weitere Informationen finden Sie in der Compute Engine-Dokumentation oder der GKE-Dokumentation.

App Engine

So verwenden Sie Cloud KMS mit App Engine:

  1. Erteilen Sie Ihrem App Engine-Dienstkonto (PROJECT_NAME@appspot.gserviceaccount.com) Berechtigungen zur Identitäts- und Zugriffsverwaltung, um Ihre Schlüssel zu verwalten und/oder zu verwenden.
  2. Verwenden Sie die Standardanmeldedaten für Anwendungen und geben Sie den Bereich https://www.googleapis.com/auth/cloudkms an. Sie können auch den Bereich https://www.googleapis.com/auth/cloud-platform angeben. Dieser enthält dann jedoch mehr Informationen als Cloud KMS.

Weitere Informationen finden Sie in der App Engine-Dokumentation unter Zugriff auf die API und Zugriffssteuerung.

Clientauthentifizierung

Wenn Ihre Anwendung Ihre Nutzer direkt authentifizieren muss, können Sie Anmeldedaten in ihrem Namen abrufen. Weitere Informationen finden Sie unter Nutzerkonten.