Accede a la API

Te recomendamos acceder a Cloud Key Management Service a través de nuestras bibliotecas cliente de la API de Google de alto rendimiento. Estas bibliotecas, que se conectan a la API de gRPC de Cloud KMS, se proporcionan en varios lenguajes de programación populares.

También puedes acceder a Cloud KMS a través de nuestra API de REST. Por lo tanto, cualquier lenguaje que sea compatible con el envío de solicitudes HTTP puede acceder a la API. Sin embargo, la mayoría de los usuarios preferirán una biblioteca cliente más idiomática.

También existe una interfaz basada en web para Cloud KMS en Google Cloud Console, que permite realizar las operaciones de administración de claves. Las operaciones de encriptación y desencriptación no se pueden realizar desde la interfaz web.

Queremos que acceder a Cloud KMS desde cualquier lenguaje o plataforma sea una experiencia agradable y seguiremos trabajando para que así sea. Envíanos tus comentarios si hay aspectos que podamos mejorar.

Plataformas

La forma en la que los clientes acceden a la API puede variar según la plataforma en la que se ejecuta el código, especialmente cuando se trata de la autenticación. Las credenciales predeterminadas de la aplicación de Google abstraen muchas de las diferencias, pero hay algunos puntos que debe tener en cuenta.

Compute Engine y Google Kubernetes Engine

El software que se ejecuta en Compute Engine, incluidos los nodos de Google Kubernetes Engine, suele autenticarse mediante credenciales aprovisionadas de forma automática en el entorno mediante la cuenta de servicio predeterminada. Lo mismo sucede con Cloud KMS. Solo asegúrate de crear una instancia y otorgarle acceso al alcance https://www.googleapis.com/auth/cloudkms (preferido, ya que admite el principio de privilegio mínimo) o https://www.googleapis.com/auth/cloud-platform de OAuth.

Por ejemplo:

gcloud compute instances create "instance-1" \
    --zone "us-east1-b" \
    --scopes "https://www.googleapis.com/auth/cloudkms"

Para obtener más información, consulta la documentación de Compute Engine o la documentación de GKE.

App Engine

Para usar Cloud KMS con App Engine, haz lo siguiente:

  1. Otorga a tu cuenta de servicio de App Engine (PROJECT_NAME@appspot.gserviceaccount.com) permisos de administración de identidades y accesos para administrar o usar tus claves.
  2. Usa las credenciales predeterminadas de la aplicación y especifica el alcance https://www.googleapis.com/auth/cloudkms. También puedes especificar el alcance https://www.googleapis.com/auth/cloud-platform, pero incluye alcances más amplios que solo Cloud KMS.

Para obtener más información, consulta Acceso a la API y Control de acceso en la documentación de App Engine.

Entorno de producción local

A fin de autenticar en una API de Google Cloud, incluido Cloud KMS, te recomendamos que uses una cuenta de servicio para tu entorno de producción local. Consulta Cómo comenzar con la autenticación para aprender a usar una cuenta de servicio.

Autenticación de clientes

Puedes obtener y usar credenciales en nombre de tus usuarios, si tu aplicación necesita autenticarlos directamente. Para obtener más información, consulta Cómo autenticarse como usuario final.

Estación de trabajo para desarrolladores

A fin de autenticar en tu estación de trabajo para desarrolladores, recomendamos que uses una cuenta de servicio. Consulta Cómo comenzar con la autenticación para obtener más información sobre el uso de las cuentas de servicio.

Entorno de producción no administrado por Google

Para un entorno que no administra Google, deberás hacer lo siguiente:

  1. Crea una cuenta de servicio.
  2. Descarga un archivo de claves JSON para esa cuenta de servicio.
  3. Utiliza algún método para aprovisionar el archivo de claves en tu entorno de producción.
  4. Carga las credenciales desde el archivo de claves en tu código.

Este proceso se describe en detalle en la documentación de Cloud Identity.