Mengakses API

Sebaiknya Anda mengakses Cloud Key Management Service melalui Library Klien Google API berperforma tinggi kami. Library ini, yang terhubung ke Cloud KMS gRPC API, disediakan dalam beberapa bahasa pemrograman populer.

Anda juga dapat mengakses Cloud KMS melalui REST API kami. Dengan demikian, bahasa apa pun yang mendukung pengiriman permintaan HTTP dapat mengakses API. Namun, sebagian besar pengguna akan lebih memilih library klien yang lebih idiomatis.

Tersedia juga antarmuka berbasis web untuk Cloud KMS di konsol Google Cloud, yang memungkinkan operasi pengelolaan kunci. Operasi enkripsi dan dekripsi tidak dapat dilakukan dari antarmuka web.

Kami ingin membuat akses ke Cloud KMS menyenangkan dari setiap bahasa dan platform, dan upaya tersebut akan terus berlanjut. Jika ada kekurangan dalam hal apa pun, beri tahu kami.

Platform

Cara klien mengakses API dapat sedikit berbeda, bergantung pada platform tempat kode dijalankan, terutama yang berkaitan dengan autentikasi. Kredensial Default Aplikasi Google memisahkan banyak perbedaan, tetapi masih ada beberapa hal yang perlu diingat. Untuk mengetahui informasi selengkapnya tentang autentikasi, lihat ringkasan autentikasi.

Compute Engine dan Google Kubernetes Engine

Software yang berjalan di Compute Engine, termasuk node Google Kubernetes Engine, biasanya mengautentikasi menggunakan kredensial yang otomatis disediakan ke lingkungan menggunakan akun layanan yang terpasang. Hal yang sama berlaku untuk Cloud KMS. Pastikan bahwa saat membuat instance, Anda memberinya akses ke https://www.googleapis.com/auth/cloudkms (lebih disukai karena mendukung prinsip hak istimewa terendah) atau cakupan OAuth https://www.googleapis.com/auth/cloud-platform.

Contoh:

gcloud compute instances create "instance-1" \
    --zone "us-east1-b" \
    --scopes "https://www.googleapis.com/auth/cloudkms"

Untuk informasi selengkapnya, baca dokumentasi Compute Engine atau dokumentasi GKE.

App Engine

Untuk menggunakan Cloud KMS dengan App Engine:

  1. Beri akun layanan App Engine Anda (PROJECT_ID@appspot.gserviceaccount.com) izin Identity and Access Management untuk mengelola dan/atau menggunakan kunci Anda.
  2. Gunakan Kredensial Default Aplikasi, dan tentukan cakupan https://www.googleapis.com/auth/cloudkms. Anda juga dapat menentukan cakupan https://www.googleapis.com/auth/cloud-platform, tetapi cakupan ini mencakup cakupan yang lebih luas daripada hanya Cloud KMS.

Untuk informasi selengkapnya, lihat Mengakses API dan Mengontrol akses dalam dokumentasi App Engine.

Autentikasi klien

Jika aplikasi Anda perlu mengautentikasi pengguna secara langsung, Anda dapat memperoleh dan menggunakan kredensial atas nama mereka. Untuk mempelajari lebih lanjut, lihat Akun pengguna.