Accede a la API

Los clientes pueden acceder a Cloud Key Management Service a través de nuestra API de REST. Por lo tanto, cualquier lenguaje que sea compatible con el envío de solicitudes HTTP puede acceder a la API. Sin embargo, muchos usuarios preferirán una biblioteca cliente más idiomática.

A largo plazo, buscamos que los clientes usen gRPC debido a las considerables mejoras de rendimiento. No obstante, es posible que algunos desarrolladores estén más familiarizados con las bibliotecas cliente existentes de la API de Google. Por lo mismo, recomendamos el uso de bibliotecas que se hayan compilado con nuestra API de REST.

También hay una interfaz basada en la Web para Cloud KMS en Google Cloud Console, que permite realizar operaciones de administración de claves. Las operaciones de encriptación y desencriptación no se pueden realizar desde la interfaz web.

Queremos que acceder a Cloud KMS desde cualquier lenguaje o plataforma sea una experiencia agradable y seguiremos trabajando para que así sea. Envíanos tus comentarios si hay aspectos que podamos mejorar.

Plataformas

La forma en la que los clientes acceden a la API puede variar según la plataforma en la que se ejecuta el código, especialmente cuando se trata de la autenticación. Las credenciales predeterminadas de la aplicación de Google abstraen muchas de las diferencias, pero hay algunos puntos que debe tener en cuenta.

Compute Engine y Google Kubernetes Engine

El software que se ejecuta en Compute Engine, incluidos los nodos de Google Kubernetes Engine, suele autenticar mediante el aprovisionamiento automático de las credenciales en el entorno mediante la cuenta de servicio predeterminada. Lo mismo sucede con Cloud KMS. Solo asegúrese de que cuando cree una instancia, le dé acceso a https://www.googleapis.com/auth/cloudkms (preferido porque admite el principio de privilegio mínimo) o al https://www.googleapis.com/auth/cloud-platform alcance de OAuth.

Por ejemplo:

Línea de comandos

    gcloud compute instances create instance-1 \
      --zone us-east1-b \
      --scopes=https://www.googleapis.com/auth/cloudkms
    

Para obtener más información, consulta la documentación de Compute Engine o la documentación de GKE.

App Engine

Para usar Cloud KMS con App Engine:

  1. Otorga a tu cuenta de servicio de App Engine (PROJECT_NAME@appspot.gserviceaccount.com) permisos de Cloud Identity and Access Management para administrar o usar tus claves.
  2. Use las credenciales predeterminadas de la aplicación y especifique el alcance https://www.googleapis.com/auth/cloudkms. También puedes especificar el alcance https://www.googleapis.com/auth/cloud-platform, pero incluye alcances más amplios que solo Cloud KMS.

Para obtener más información, consulta Acceso a la API y Control de accesos en la documentación de App Engine.

Entorno de producción local

Para tu entorno de producción local, la forma recomendada de autenticarte en una API de Google Cloud, incluido Cloud KMS, es usar una cuenta de servicio. Consulta Cómo comenzar con la autenticación para aprender a usar una cuenta de servicio.

Autenticación de clientes

Puedes obtener y usar credenciales en nombre de tus usuarios si tu aplicación necesita autenticarlos directamente. Para obtener más información, consulta Cómo autenticarse como usuario final.

Estación de trabajo para desarrolladores

A fin de autenticar en tu estación de trabajo para desarrolladores, recomendamos que uses una cuenta de servicio. Consulta Cómo comenzar con la autenticación para obtener más información sobre el uso de las cuentas de servicio.

Entorno de producción no administrado por Google

Para un entorno no administrado por Google, deberás hacer lo siguiente:

  1. Crea una cuenta de servicio.
  2. Descarga un archivo de claves JSON para esa cuenta de servicio.
  3. Utiliza algún método para aprovisionar el archivo de claves en tu entorno de producción.
  4. Carga las credenciales desde el archivo de claves en tu código.

Este proceso se describe en detalle en la documentación de Cloud Identity.