Te recomendamos acceder a Cloud Key Management Service a través de nuestras bibliotecas cliente de la API de Google de alto rendimiento. Estas bibliotecas, que se conectan a la API de gRPC de Cloud KMS, se proporcionan en varios lenguajes de programación populares.
También puedes acceder a Cloud KMS a través de nuestra API de REST. Por lo tanto, cualquier lenguaje que sea compatible con el envío de solicitudes HTTP puede acceder a la API. Sin embargo, la mayoría de los usuarios preferirán una biblioteca cliente más idiomática.
También hay una interfaz basada en la Web para Cloud KMS en la consola de Google Cloud, que permite realizar las operaciones de administración de claves. Las operaciones de encriptación y desencriptación no se pueden realizar desde la interfaz web.
Queremos que acceder a Cloud KMS desde cualquier lenguaje o plataforma sea una experiencia agradable y seguiremos trabajando para que así sea. Envíanos tus comentarios si hay aspectos que podamos mejorar.
Plataformas
La forma en que los clientes acceden a la API puede variar un poco según la plataforma en la que se ejecuta el código, en especial con respecto a la autenticación. Las credenciales predeterminadas de la aplicación de Google abstraen muchas de las diferencias, pero hay algunos aspectos que se deben tener en cuenta. Consulta la descripción general de la autenticación si necesitas más información al respecto.
Compute Engine y Google Kubernetes Engine
Por lo general, el software que se ejecuta en Compute Engine, incluidos los nodos de Google Kubernetes Engine, se autentica con credenciales aprovisionadas automáticamente en el entorno mediante la cuenta de servicio adjunta. Lo mismo sucede con Cloud KMS. Cuando crees una instancia, asegúrate de otorgarle acceso al permiso https://www.googleapis.com/auth/cloudkms de OAuth o al permiso https://www.googleapis.com/auth/cloud-platform (opción preferida porque admite el principio de privilegio mínimo).
Por ejemplo:
gcloud compute instances create "instance-1" \
--zone "us-east1-b" \
--scopes "https://www.googleapis.com/auth/cloudkms"
Para obtener más información, consulta la documentación de Compute Engine o la documentación de GKE.
App Engine
Para usar Cloud KMS con App Engine, haz lo siguiente:
- Otorga a tu cuenta de servicio de App Engine (
PROJECT_ID@appspot.gserviceaccount.com) permisos de administración de identidades y accesos para administrar o usar tus claves. - Usa las credenciales predeterminadas de la aplicación y especifica el alcance
https://www.googleapis.com/auth/cloudkms. También puedes especificar el alcancehttps://www.googleapis.com/auth/cloud-platform, pero incluye alcances más amplios que solo Cloud KMS.
Para obtener más información, consulta Acceso a la API y Control de acceso en la documentación de App Engine.
Autenticación de clientes
Puedes obtener y usar credenciales en nombre de tus usuarios, si tu aplicación necesita autenticarlos directamente. Para obtener más información, consulta Cuentas de usuario.