API へのアクセス

Cloud Key Management Service には、高パフォーマンスの Google API クライアント ライブラリを経由してアクセスすることをおすすめします。これらのライブラリは Cloud KMS gRPC API に接続し、いくつかの一般的なプログラミング言語で提供されています。

Google の REST API を経由して Cloud KMS にアクセスすることもできます。したがって、HTTP リクエストの送信をサポートするどの言語でも API にアクセスできます。ただし、ほとんどのユーザーはより慣用的なクライアント ライブラリを求めています。

また、Google Cloud Console の Cloud KMS 用のウェブベースのインターフェースを使用して、鍵管理オペレーションを行うこともできます。暗号化オペレーションと復号化オペレーションは、ウェブ インターフェースでは実行できません。

Google では、すべての言語とプラットフォームから Cloud KMS に快適にアクセスできるようにするための作業を進めています。ご不明な点がありましたら Google までお問い合わせください

プラットフォーム

クライアントが API にアクセスする方法は、コードが実行されているプラットフォームによって若干異なり、特に認証において顕著です。Google アプリケーションのデフォルト認証情報において違いはほとんどありませんが、いくつかの留意点があります。

Compute Engine と Google Kubernetes Engine

Google Kubernetes Engine ノードなどの Compute Engine で実行されるソフトウェアは、一般的にデフォルトのサービス アカウントを使用して、環境に自動的にプロビジョニングされた認証情報を使用して認証します。Cloud KMS の場合も同様です。インスタンスを作成する際には、https://www.googleapis.com/auth/cloudkms(最小権限の原則に従っているため望ましい)または https://www.googleapis.com/auth/cloud-platform OAuth スコープへのアクセス権をインスタンスに必ず付与してください。

例:

gcloud compute instances create "instance-1" \
    --zone "us-east1-b" \
    --scopes "https://www.googleapis.com/auth/cloudkms"

詳細については、Compute Engine のドキュメントまたは GKE のドキュメントをご覧ください。

App Engine

App Engine で Cloud KMS を使用するには:

  1. App Engine サービス アカウント(PROJECT_NAME@appspot.gserviceaccount.com)に、鍵を管理または使用するための Identity and Access Management 権限を付与します。
  2. [アプリケーションのデフォルト認証情報] を使用して、スコープ https://www.googleapis.com/auth/cloudkms を指定します。また、範囲 https://www.googleapis.com/auth/cloud-platform を指定することもできますが、Cloud KMS だけでなく幅広いスコープも指定できます。

詳細については、App Engine ドキュメントの API へのアクセスアクセスの制御をご覧ください。

オンプレミス本番環境

オンプレミスの本番環境では、Cloud KMS を含む Google Cloud API の認証にサービス アカウントを使用することをおすすめします。サービス アカウントの使用方法については、認証の開始をご覧ください。

クライアント認証

アプリケーションでユーザーを直接認証する必要がある場合は、ユーザーの代わりに認証情報を取得して使用できます。詳細については、エンドユーザーとしての認証をご覧ください。

デベロッパー ワークステーション

デベロッパー ワークステーションについても、サービス アカウントを使用して認証することをおすすめします。サービス アカウントの使用方法については、認証の開始をご覧ください。

Google によって管理されていない本番環境

Google によって管理されていない環境では、次のことを行う必要があります。

  1. サービス アカウントを作成する。
  2. 作成したサービス アカウントの JSON キーファイルをダウンロードします。
  3. ダウンロードしたキーファイルをなんらかの方法で本番環境にプロビジョニングします。
  4. キーファイルの認証情報をコードに読み込みます。

このプロセスは、Google Identity のドキュメントで詳細に説明されています。