Como acessar a API

Os clientes acessam o Google Cloud Key Management Service pela nossa API REST. Assim, qualquer idioma compatível com o envio de solicitações HTTP pode acessar a API. No entanto, muitos usuários preferem uma biblioteca de cliente mais idiomática.

A longo prazo, queremos que os clientes usem o gRPC para aproveitar melhorias substanciais no desempenho. No entanto, alguns desenvolvedores podem estar mais familiarizados com as Bibliotecas de cliente da API do Google atuais. Por isso, recomendamos o uso das bibliotecas baseadas na nossa API REST.

Há também uma interface baseada na Web para o Cloud KMS no Console do Cloud que permite operações de gerenciamento de chaves. As operações de criptografia e descriptografia não são executadas a partir da interface da Web.

Nosso objetivo é facilitar o acesso de todos os idiomas e plataformas ao Cloud KMS. Esse será um trabalho contínuo. Se de alguma forma ainda não atingimos as expectativas, avise-nos.

Plataformas

A forma como os clientes acessam a API varia um pouco dependendo da plataforma em que o código é executado, particularmente no que diz respeito à autenticação. As credenciais padrão do aplicativo do Google abstraem muitas das diferenças, mas ainda há coisas a serem levadas em consideração.

Google Compute Engine

O software em execução no Compute Engine normalmente é autenticado com credenciais provisionadas de maneira automática no ambiente usando a conta de serviço padrão. O mesmo acontece com o Cloud KMS. Apenas certifique-se de conceder à instância acesso ao https://www.googleapis.com/auth/cloudkms durante a criação dela. Isso é recomendado porque é compatível com o princípio do menor privilégio. Outra opção é usar o escopo https://www.googleapis.com/auth/cloud-platform do OAuth.

Por exemplo:

Linha de comando

gcloud compute instances create instance-1 --zone us-east1-b --scopes=https://www.googleapis.com/auth/cloudkms

Consulte a documentação do Google Compute Engine para mais informações.

Google App Engine

O App Engine é fácil. Basta usar o Application Default Credentials e especificar preferencialmente o escopo https://www.googleapis.com/auth/cloudkms, que é compatível com o princípio do menor privilégio, ou https://www.googleapis.com/auth/cloud-platform. Lembre-se de conceder permissões do IAM à conta de serviço do App Engine (PROJECT_NAME@appspot.gserviceaccount.com) para gerenciar e/ou usar suas chaves.

Ambiente de produção local

A maneira recomendada de autenticar uma API do Google Cloud Platform, incluindo o Cloud KMS, no seu ambiente de produção local, é usar uma conta de serviço. Para saber como usar uma conta de serviço, consulte Primeiros passos com a autenticação.

Autenticação do cliente

Se for preciso que o aplicativo autentique os usuários diretamente, consiga e use credenciais em nome deles. Para saber mais, consulte Autenticação como usuário final.

Estação de trabalho do desenvolvedor

A autenticação com uma conta de serviço também é recomendada para a estação de trabalho do desenvolvedor. Para informações sobre como usar uma conta de serviço, consulte Primeiros passos com a autenticação.

Ambiente de produção fora do Google

Para um ambiente não gerenciado pelo Google, será necessário:

criar uma conta de serviço;
fazer o download de um arquivo de chave JSON para essa conta de serviço;
provisionar de alguma forma esse arquivo de chave no seu ambiente de produção;
carregar as credenciais do arquivo de chave em seu código.

Esse processo é descrito em detalhes na documentação do Google Identity.

Esta página foi útil? Conte sua opinião sobre:

Except as otherwise noted, the content of this page is licensed under the Creative Commons Attribution 4.0 License, and code samples are licensed under the Apache 2.0 License. For details, see our Site Policies. Java is a registered trademark of Oracle and/or its affiliates.

Última atualização: Junho 17, 2019.