Auf die API zugreifen

Kunden können über unsere REST API auf den Cloud Key Management Service zugreifen. Daher kann jede Sprache, die das Senden von HTTP-Anfragen unterstützt, auf die API zugreifen. Viele Nutzer bevorzugen jedoch eine idiomatischere Clientbibliothek.

Langfristig empfehlen wir Kunden, für bessere Leistungen gRPC zu verwenden. Manche Entwickler sind jedoch möglicherweise mit den vorhandenen Google API-Clientbibliotheken besser vertraut. Daher empfehlen wir derzeit die Bibliotheken, die auf unserer REST API basieren.

Es gibt auch eine webbasierte Oberfläche für Cloud KMS in der Google Cloud Console, die wichtige Verwaltungsvorgänge ermöglicht. Ver- und Entschlüsselungsvorgänge sind über die Weboberfläche möglich.

Wir möchten, dass der Zugriff auf Cloud KMS mit jeder Sprache und Plattform möglichst nutzerfreundlich ist, und arbeiten ständig daran. Wenn es dabei Verbesserungsmöglichkeiten gibt, teilen Sie uns das bitte mit.

Plattformen

Die Art des Zugriffs durch Kunden auf die API kann je nach Plattform, auf der der Code ausgeführt wird, unterschiedlich sein, vor allem in Bezug auf die Authentifizierung. Google-Standardanmeldedaten für Anwendungen abstrahieren viele der Unterschiede. Es sind jedoch einige Dinge zu beachten.

Compute Engine und Google Kubernetes Engine

Software, die auf Compute Engine ausgeführt wird, einschließlich Google Kubernetes Engine-Knoten, wird normalerweise mit Anmeldedaten authentifiziert, die automatisch mit dem Standarddienstkonto in der Umgebung bereitgestellt werden. Dasselbe gilt für Cloud KMS. Stellen Sie einfach sicher, dass Sie beim Erstellen einer Instanz Zugriff auf den OAuth-Bereich https://www.googleapis.com/auth/cloudkms (bevorzugt, da sie das Prinzip der geringsten Berechtigung unterstützt) oder https://www.googleapis.com/auth/cloud-platform gewähren.

Beispiel:

gcloud compute instances create "instance-1" \
    --zone "us-east1-b" \
    --scopes "https://www.googleapis.com/auth/cloudkms"

Weitere Informationen finden Sie in der Compute Engine-Dokumentation oder der GKE-Dokumentation.

App Engine

So verwenden Sie Cloud KMS mit App Engine:

  1. Gewähren Sie Ihrem App Engine-Dienstkonto (PROJECT_NAME@appspot.gserviceaccount.com) Cloud Identity and Access Management-Berechtigungen zum Verwalten und/oder Verwenden Ihrer Schlüssel.
  2. Verwenden Sie die Standardanmeldedaten für Anwendungen und geben Sie den Bereich https://www.googleapis.com/auth/cloudkms an. Sie können auch den Bereich https://www.googleapis.com/auth/cloud-platform angeben, er umfasst jedoch weitere Bereiche als nur Cloud KMS.

Weitere Informationen finden Sie unter Zugriff auf die API und Zugriff steuern in der App Engine-Dokumentation.

Lokale Produktionsumgebung

Für Ihre lokale Produktionsumgebung ist die empfohlene Methode für die Authentifizierung bei einer Google Cloud API, einschließlich Cloud KMS, die Verwendung eines Dienstkontos. Weitere Informationen zum Verwenden eines Dienstkontos finden Sie unter Erste Schritte bei der Authentifizierung.

Clientauthentifizierung

Wenn Ihre Anwendung Ihre Nutzer direkt authentifizieren muss, können Sie Anmeldedaten in ihrem Namen abrufen. Weitere Informationen finden Sie unter Als Endnutzer authentifizieren.

Entwicklerworkstation

Die Authentifizierung mithilfe eines Dienstkontos wird auch für Ihre Entwicklerworkstation empfohlen. Weitere Informationen zur Verwendung eines Dienstkontos finden Sie unter Erste Schritte bei der Authentifizierung.

Produktionsumgebung, die nicht von Google verwaltet wird

Bei Umgebungen, die nicht von Google verwaltet werden, ist Folgendes erforderlich:

  1. Dienstkonto erstellen
  2. Laden Sie eine JSON-Schlüsseldatei für dieses Dienstkonto herunter.
  3. Stellen Sie diese Schlüsseldatei in Ihrer Produktionsumgebung bereit.
  4. Laden Sie die Anmeldeinformationen aus der Schlüsseldatei in Ihren Code.

Dieser Vorgang wird ausführlich in der Cloud Identity-Dokumentationbeschrieben.