Cómo acceder a la API

Los clientes pueden acceder a Cloud Key Management Service a través de nuestra API de REST. Por lo tanto, cualquier lenguaje que sea compatible con el envío de solicitudes HTTP puede acceder a la API. Sin embargo, muchos usuarios preferirán una biblioteca cliente más idiomática.

A largo plazo, buscamos que los clientes usen gRPC debido a las considerables mejoras de rendimiento. No obstante, es posible que algunos desarrolladores estén más familiarizados con las bibliotecas cliente existentes de la API de Google. Por lo mismo, recomendamos el uso de bibliotecas que se hayan compilado con nuestra API de REST.

También existe una interfaz basada en web para Cloud KMS en Cloud Console, que permite realizar las operaciones de administración de claves. Las operaciones de encriptación y desencriptación no se pueden realizar desde la interfaz web.

Queremos que acceder a Cloud KMS desde cualquier lenguaje o plataforma sea una experiencia agradable y seguiremos trabajando para que así sea. Envíanos tus comentarios si hay aspectos que podamos mejorar.

Plataformas

La forma en la que los clientes acceden a la API puede variar según la plataforma en la que se ejecuta el código, especialmente cuando se trata de la autenticación. Las credenciales predeterminadas de la aplicación de Google abstraen muchas de las diferencias, pero hay algunos puntos que debe tener en cuenta.

Google Compute Engine

Por lo general, el software que se ejecuta en Compute Engine autentica con las credenciales aprovisionadas automáticamente en el entorno mediante la cuenta de servicio predeterminada. Lo mismo sucede con Cloud KMS. Cuando crees una instancia, asegúrate de darle acceso al alcance de https://www.googleapis.com/auth/cloud-platform de OAuth o a https://www.googleapis.com/auth/cloudkms (el alcance preferido, porque admite el principio del mínimo privilegio).

Por ejemplo:

Línea de comandos

gcloud compute instances create instance-1 --zone us-east1-b --scopes=https://www.googleapis.com/auth/cloudkms

Consulta la documentación de Google Compute Engine para obtener más información.

Google App Engine

App Engine es sencillo. Simplemente usa las credenciales predeterminadas de la aplicación y especifica el uso del alcance https://www.googleapis.com/auth/cloudkms (el preferido debido a que admite el principio del mínimo privilegio) o https://www.googleapis.com/auth/cloud-platform. Recuerda que debes otorgar permisos de IAM a tu cuenta de servicio de App Engine (PROJECT_NAME@appspot.gserviceaccount.com) para administrar o usar tus claves.

Entorno de producción local

A fin de autenticar en una API de Google Cloud Platform, incluido Cloud KMS, te recomendamos que uses una cuenta de servicio para tu entorno de producción local. Consulta Cómo comenzar con la autenticación para aprender a usar una cuenta de servicio.

Autenticación de clientes

Puedes obtener y usar credenciales en nombre de tus usuarios, si tu aplicación necesita autenticarlos directamente. Para obtener más información, consulta Cómo autenticarse como usuario final.

Estación de trabajo para desarrolladores

A fin de autenticar en tu estación de trabajo para desarrolladores, recomendamos que uses una cuenta de servicio. Consulta Cómo comenzar con la autenticación para obtener más información sobre el uso de las cuentas de servicio.

Entorno de producción ajeno a Google

Para un entorno que no administra Google, sigue estos pasos:

  1. Crea una cuenta de servicio.
  2. Descarga un archivo de claves JSON para esa cuenta de servicio.
  3. Utiliza algún método para aprovisionar el archivo de claves en tu entorno de producción.
  4. Carga las credenciales desde el archivo de claves en tu código.

Este proceso se describe en detalle en la documentación de Google Identity.

¿Te ha resultado útil esta página? Enviar comentarios:

Enviar comentarios sobre...

Documentación de Cloud KMS