Accesso all'API

Ti consigliamo di accedere a Cloud Key Management Service tramite le nostre librerie client delle API di Google ad alte prestazioni. Queste librerie, che si connettono all'API gRPC Cloud KMS, sono fornite in diversi linguaggi di programmazione popolari.

Puoi accedere a Cloud KMS anche tramite la nostra API REST. Pertanto, qualsiasi linguaggio che supporta l'invio di richieste HTTP può accedere all'API. Tuttavia, la maggior parte degli utenti preferisce una libreria client più idiomatica.

C'è anche un'interfaccia basata sul Web per Cloud KMS su Google Cloud Console, che consente operazioni di gestione delle chiavi. Le operazioni di crittografia e decriptazione non possono essere eseguite dall'interfaccia web.

Vogliamo rendere l'accesso a Cloud KMS una vera gioia da ogni linguaggio e piattaforma, e continueremo a lavorare su questo obiettivo. Se non riusciamo a raggiungere questo scopo, faccelo sapere.

Piattaforme

Il modo in cui i client accedono all'API può variare leggermente a seconda della piattaforma su cui viene eseguito il codice, in particolare per quanto riguarda l'autenticazione. Le credenziali predefinite dell'applicazione Google nascondono molte delle differenze, ma bisogna tenere presente alcuni aspetti.

Compute Engine e Google Kubernetes Engine

Il software in esecuzione su Compute Engine, inclusi i nodi di Google Kubernetes Engine, in genere esegue l'autenticazione utilizzando le credenziali di cui è stato eseguito automaticamente il provisioning nell'ambiente utilizzando l'account di servizio predefinito. Lo stesso vale per Cloud KMS. Assicurati solo che quando crei un'istanza, le concedi l'accesso all'ambito OAuth di https://www.googleapis.com/auth/cloudkms (opzione preferita perché supporta il principio del privilegio minimo) o https://www.googleapis.com/auth/cloud-platform.

Ad esempio:

gcloud compute instances create "instance-1" \
    --zone "us-east1-b" \
    --scopes "https://www.googleapis.com/auth/cloudkms"

Per saperne di più, consulta la documentazione di Compute Engine o la documentazione di GKE.

App Engine

Per utilizzare Cloud KMS con App Engine:

  1. Assegna al tuo account di servizio App Engine (PROJECT_NAME@appspot.gserviceaccount.com) le autorizzazioni per la gestione di identità e accessi per gestire e/o utilizzare le tue chiavi.
  2. Utilizza le credenziali predefinite dell'applicazione e specifica l'ambito https://www.googleapis.com/auth/cloudkms. Puoi anche specificare l'ambito https://www.googleapis.com/auth/cloud-platform, ma include più ambiti molto più del semplice Cloud KMS.

Per ulteriori informazioni, consulta le sezioni Accesso all'API e Controllo dell'accesso nella documentazione di App Engine.

Ambiente di produzione on-premise

Per il tuo ambiente di produzione on-premise, il metodo consigliato per autenticarsi in un'API Google Cloud, incluso Cloud KMS, è utilizzare un account di servizio. Per informazioni su come utilizzare un account di servizio, consulta la guida introduttiva all'autenticazione.

Autenticazione client

Se la tua applicazione deve autenticare direttamente i tuoi utenti, puoi ottenere e utilizzare le credenziali per loro conto. Per scoprire di più, consulta l'articolo sull'autenticazione come utente finale.

workstation di sviluppo

L'autenticazione mediante un account di servizio è consigliata anche per la tua workstation di sviluppatore. Per informazioni su come utilizzare un account di servizio, consulta la guida introduttiva all'autenticazione.

Ambiente di produzione non gestito da Google

Per un ambiente non gestito da Google, devi:

  1. Crea un account di servizio.
  2. Scarica un file della chiave JSON per quell'account di servizio.
  3. In qualche modo esegui il provisioning di quel file di chiave nel tuo ambiente di produzione.
  4. Carica le credenziali dal file della chiave nel codice.

Questa procedura è descritta in dettaglio nella documentazione di Cloud Identity.