고성능 Google API 클라이언트 라이브러리를 통해 Cloud Key Management Service에 액세스하는 것이 좋습니다. Cloud KMS gRPC API에 연결되는 이러한 라이브러리는 여러 가지 인기 있는 프로그래밍 언어로 제공됩니다.
REST API를 통해 Cloud KMS에 액세스할 수도 있습니다. 따라서 HTTP 요청 전송을 지원하는 모든 언어는 API에 액세스할 수 있습니다. 하지만 대부분의 사용자는 더욱 관용적인 클라이언트 라이브러리를 선호합니다.
키 관리 작업을 허용하는 Google Cloud Console의 Cloud KMS용 웹 기반 인터페이스도 있습니다. 암호화 및 복호화 작업은 웹 인터페이스에서 수행할 수 없습니다.
Google은 모든 언어와 플랫폼에서 편리하게 Cloud KMS에 액세스할 수 있도록 노력을 지속할 것입니다. 개선이 필요한 부분이 있다면 알려주세요.
플랫폼
클라이언트에서 API에 액세스하는 방법은 코드가 실행 중인 플랫폼에 따라, 특히 인증과 관련하여 다소 다를 수 있습니다. Google 애플리케이션 기본 사용자 인증 정보는 이러한 차이점 대부분을 무시하지만 여전히 유의해야 할 몇 가지 사항이 있습니다. 인증에 대한 자세한 내용은 인증 개요를 참조하세요.
Compute Engine 및 Google Kubernetes Engine
Google Kubernetes Engine 노드를 포함하여 Compute Engine에서 실행되는 소프트웨어는 일반적으로 연결된 서비스 계정을 사용하여 환경에 자동으로 프로비저닝되는 사용자 인증 정보로 인증합니다. Cloud KMS에서도 마찬가지입니다. 인스턴스를 만들 때 https://www.googleapis.com/auth/cloudkms(최소 권한의 원칙에 따르므로 선호) 또는 https://www.googleapis.com/auth/cloud-platform OAuth 범위에 대한 액세스 권한을 부여해야 합니다.
예를 들면 다음과 같습니다.
gcloud compute instances create "instance-1" \
--zone "us-east1-b" \
--scopes "https://www.googleapis.com/auth/cloudkms"
자세한 내용은 Compute Engine 문서 또는 GKE 문서를 참조하세요.
App Engine
App Engine에서 Cloud KMS를 사용하려면 다음 안내를 따르세요.
- App Engine 서비스 계정(
PROJECT_ID@appspot.gserviceaccount.com)에 키를 관리하거나 사용할 수 있는 ID 및 액세스 관리 권한을 부여합니다. - 애플리케이션 기본 사용자 인증 정보를 사용하고
https://www.googleapis.com/auth/cloudkms범위를 지정합니다.https://www.googleapis.com/auth/cloud-platform범위를 지정할 수도 있지만 Cloud KMS보다 더 넓은 범위가 포함됩니다.
자세한 내용은 App Engine 문서의 API 액세스 및 액세스 제어를 참조하세요.
클라이언트 인증
애플리케이션에서 사용자를 직접 인증해야 하는 경우 사용자를 대신하여 사용자 인증 정보를 획득 및 사용할 수 있습니다. 자세한 내용은 사용자 계정을 참조하세요.