Recomendamos que você acesse o Cloud Key Management Service com nossas bibliotecas de cliente das APIs do Google de alto desempenho. Essas bibliotecas, que se conectam à API gRPC do Cloud KMS, são fornecidas em várias linguagens de programação conhecidas.
Você também pode acessar o Cloud KMS por meio da nossa API REST. Assim, qualquer linguagem compatível com o envio de solicitações HTTP pode acessar a API. No entanto, a maioria dos usuários prefere uma biblioteca de cliente mais idiomática.
Há também uma interface baseada na Web para Cloud KMS no console do Google Cloud, que permite operações de gerenciamento de chaves. As operações de criptografia e descriptografia não são executadas a partir da interface da Web.
Nosso objetivo é facilitar o acesso de todos os idiomas e plataformas ao Cloud KMS. Esse será um trabalho contínuo. Se de alguma forma ainda não atingimos as expectativas, avise-nos.
Plataformas
A forma como os clientes acessam a API pode variar um pouco dependendo da plataforma em que o código está sendo executado, principalmente no que diz respeito à autenticação. O Application Default Credentials do Google abstrai muitas das diferenças, mas ainda há alguns detalhes a serem considerados. Para mais informações sobre autenticação, consulte a visão geral da autenticação.
Compute Engine e Google Kubernetes Engine
O software em execução no Compute Engine, incluindo nós do Google Kubernetes Engine,
geralmente autentica usando credenciais provisionadas automaticamente no
ambiente usando a conta de serviço anexada. O mesmo vale para o Cloud KMS. Ao criar uma
instância, verifique se você concede acesso ao https://www.googleapis.com/auth/cloudkms
(preferencialmente compatível com o princípio de privilégio mínimo) ou do
escopo https://www.googleapis.com/auth/cloud-platform
do OAuth.
Exemplo:
gcloud compute instances create "instance-1" \ --zone "us-east1-b" \ --scopes "https://www.googleapis.com/auth/cloudkms"
Para mais informações, consulte a documentação do Compute Engine ou a documentação do GKE.
App Engine
Para usar o Cloud KMS com o App Engine:
- Conceda à sua conta de serviço do App Engine
(
PROJECT_NAME@appspot.gserviceaccount.com
) permissões do Identity and Access Management para gerenciar e/ou usar suas chaves. - Use o Application Default Credentials e especifique o
escopo
https://www.googleapis.com/auth/cloudkms
. Também é possível especificar o escopohttps://www.googleapis.com/auth/cloud-platform
, mas ele inclui escopos mais amplos do que apenas o Cloud KMS.
Para mais informações, consulte Como acessar a API e Como controlar o acesso na documentação do App Engine.
Autenticação do cliente
Se for preciso que o aplicativo autentique os usuários diretamente, consiga e use credenciais em nome deles. Para saber mais, consulte Contas de usuário.