Accede a la API

Los clientes pueden acceder a Cloud Key Management Service a través de nuestra API de REST. Por lo tanto, cualquier lenguaje que sea compatible con el envío de solicitudes HTTP puede acceder a la API. Sin embargo, muchos usuarios preferirán una biblioteca cliente más idiomática.

A largo plazo, buscamos que los clientes usen gRPC debido a las considerables mejoras de rendimiento. No obstante, es posible que algunos desarrolladores estén más familiarizados con las bibliotecas cliente existentes de la API de Google. Por lo mismo, recomendamos el uso de bibliotecas que se hayan compilado con nuestra API de REST.

También existe una interfaz basada en web para Cloud KMS en Google Cloud Console, que permite realizar las operaciones de administración de claves. Las operaciones de encriptación y desencriptación no se pueden realizar desde la interfaz web.

Queremos que acceder a Cloud KMS desde cualquier lenguaje o plataforma sea una experiencia agradable y seguiremos trabajando para que así sea. Envíanos tus comentarios si hay aspectos que podamos mejorar.

Plataformas

La forma en la que los clientes acceden a la API puede variar según la plataforma en la que se ejecuta el código, especialmente cuando se trata de la autenticación. Las credenciales predeterminadas de la aplicación de Google abstraen muchas de las diferencias, pero hay algunos puntos que debe tener en cuenta.

Compute Engine y Google Kubernetes Engine

Software que se ejecuta en Compute Engine, incluidos los nodos de Google Kubernetes Engine, y suele autenticarse con las credenciales aprovisionadas automáticamente en el entorno mediante la cuenta de servicio predeterminada. Lo mismo sucede con Cloud KMS. Solo asegúrate de tener acceso a la instancia de https://www.googleapis.com/auth/cloudkms (preferida porque admite el principio de privilegio mínimo) o el alcance de OAuth https://www.googleapis.com/auth/cloud-platform.

Por ejemplo:

gcloud compute instances create "instance-1" \
    --zone "us-east1-b" \
    --scopes "https://www.googleapis.com/auth/cloudkms"

Consulta la documentación de Compute Engine o la documentación de GKE para obtener más información.

App Engine

Para usar Cloud KMS con App Engine:

  1. Otorga a tu cuenta de servicio de App Engine (PROJECT_NAME@appspot.gserviceaccount.com) permisos de administración de identidades y accesos para administrar o usar tus claves.
  2. Usa las credenciales predeterminadas de la aplicación y especifica el alcance https://www.googleapis.com/auth/cloudkms. También puedes especificar el alcance https://www.googleapis.com/auth/cloud-platform, pero incluye alcances más amplios que solo Cloud KMS.

Para obtener más información, consulta Acceso a la API y Controla el acceso en la documentación de App Engine.

Entorno de producción local

A fin de autenticar en una API de Google Cloud, incluido Cloud KMS, te recomendamos que uses una cuenta de servicio para tu entorno de producción local. Consulta Cómo comenzar con la autenticación para aprender a usar una cuenta de servicio.

Autenticación de clientes

Puedes obtener y usar credenciales en nombre de tus usuarios, si tu aplicación necesita autenticarlos directamente. Para obtener más información, consulta Cómo autenticarse como usuario final.

Estación de trabajo para desarrolladores

A fin de autenticar en tu estación de trabajo para desarrolladores, recomendamos que uses una cuenta de servicio. Consulta Cómo comenzar con la autenticación para obtener más información sobre el uso de las cuentas de servicio.

Entorno de producción no administrado por Google

Para un entorno que no administra Google, deberás hacer lo siguiente:

  1. Crea una cuenta de servicio.
  2. Descarga un archivo de claves JSON para esa cuenta de servicio.
  3. Utiliza algún método para aprovisionar el archivo de claves en tu entorno de producción.
  4. Carga las credenciales desde el archivo de claves en tu código.

Este proceso se describe en detalle en la documentación de Cloud Identity.