Acesso à API

Recomendamos que você acesse o Cloud Key Management Service com nossas bibliotecas de cliente das APIs do Google de alto desempenho. Essas bibliotecas, que se conectam à API gRPC do Cloud KMS, são fornecidas em várias linguagens de programação conhecidas.

Você também pode acessar o Cloud KMS por meio da nossa API REST. Assim, qualquer linguagem compatível com o envio de solicitações HTTP pode acessar a API. No entanto, a maioria dos usuários prefere uma biblioteca de cliente mais idiomática.

Há também uma interface baseada na Web para o Cloud KMS no console do Google Cloud que permite operações de gerenciamento de chaves. As operações de criptografia e descriptografia não são executadas a partir da interface da Web.

Nosso objetivo é facilitar o acesso de todos os idiomas e plataformas ao Cloud KMS. Esse será um trabalho contínuo. Se de alguma forma ainda não atingimos as expectativas, avise-nos.

Plataformas

A forma como os clientes acessam a API pode variar um pouco, dependendo da plataforma em que o código é executado, principalmente no que diz respeito à autenticação. O Application Default Credentials do Google abstrai muitas das diferenças, mas ainda há coisas a serem consideradas. Para mais informações sobre autenticação, consulte a visão geral de autenticação.

Compute Engine e Google Kubernetes Engine

O software em execução no Compute Engine, incluindo os nós do Google Kubernetes Engine, normalmente autentica usando credenciais provisionadas automaticamente no ambiente usando a conta de serviço anexada. O mesmo acontece com o Cloud KMS. Ao criar uma instância, verifique se você concede a ela acesso ao https://www.googleapis.com/auth/cloudkms (preferencial porque é compatível com o princípio de privilégio mínimo) ou ao escopo do OAuth https://www.googleapis.com/auth/cloud-platform.

Exemplo:

gcloud compute instances create "instance-1" \
    --zone "us-east1-b" \
    --scopes "https://www.googleapis.com/auth/cloudkms"

Para mais informações, consulte a documentação do Compute Engine ou a documentação do GKE.

App Engine

Para usar o Cloud KMS com o App Engine:

  1. Conceda à sua conta de serviço do App Engine (PROJECT_ID@appspot.gserviceaccount.com) permissões do Identity and Access Management para gerenciar e/ou usar as chaves.
  2. Use o Application Default Credentials e especifique o escopo https://www.googleapis.com/auth/cloudkms. Também é possível especificar o escopo https://www.googleapis.com/auth/cloud-platform, mas ele inclui escopos mais amplos do que apenas o Cloud KMS.

Para mais informações, consulte Como acessar a API e Como controlar o acesso na documentação do App Engine.

Autenticação do cliente

Se for preciso que o aplicativo autentique os usuários diretamente, consiga e use credenciais em nome deles. Para saber mais, consulte Contas de usuário.