Os clientes acessam o Google Cloud Key Management Service pela nossa API REST. Assim, qualquer idioma compatível com o envio de solicitações HTTP pode acessar a API. No entanto, muitos usuários preferem uma biblioteca de cliente mais idiomática.
A longo prazo, queremos que os clientes usem o gRPC para aproveitar melhorias substanciais no desempenho. No entanto, alguns desenvolvedores podem estar mais familiarizados com as Bibliotecas de cliente da API do Google atuais. Por isso, recomendamos o uso das bibliotecas baseadas na nossa API REST.
Há também uma interface baseada na Web para o Cloud KMS no Console do Cloud que permite operações de gerenciamento de chaves. As operações de criptografia e descriptografia não são executadas a partir da interface da Web.
Nosso objetivo é facilitar o acesso de todos os idiomas e plataformas ao Cloud KMS. Esse será um trabalho contínuo. Se de alguma forma ainda não atingimos as expectativas, avise-nos.
Plataformas
A forma como os clientes acessam a API varia um pouco dependendo da plataforma em que o código é executado, particularmente no que diz respeito à autenticação. As credenciais padrão do aplicativo do Google abstraem muitas das diferenças, mas ainda há coisas a serem levadas em consideração.
Google Compute Engine
O software em execução no Compute Engine normalmente é autenticado com credenciais provisionadas de maneira automática no ambiente usando a conta de serviço padrão. O mesmo acontece com o Cloud KMS. Apenas certifique-se de conceder à instância acesso ao https://www.googleapis.com/auth/cloudkms durante a criação dela. Isso é recomendado porque é compatível com o princípio do menor privilégio. Outra opção é usar o escopo https://www.googleapis.com/auth/cloud-platform do OAuth.
Por exemplo:
Linha de comando
gcloud compute instances create instance-1 --zone us-east1-b --scopes=https://www.googleapis.com/auth/cloudkms
Consulte a documentação do Google Compute Engine para mais informações.
Google App Engine
O App Engine é fácil. Basta usar o Application Default Credentials e especificar preferencialmente o escopo https://www.googleapis.com/auth/cloudkms, que é compatível com o princípio do menor privilégio, ou https://www.googleapis.com/auth/cloud-platform. Lembre-se de conceder permissões do IAM à conta de serviço do App Engine (PROJECT_NAME@appspot.gserviceaccount.com) para gerenciar e/ou usar suas chaves.
Ambiente de produção local
A maneira recomendada de autenticar uma API do Google Cloud Platform, incluindo o Cloud KMS, no seu ambiente de produção local, é usar uma conta de serviço. Para saber como usar uma conta de serviço, consulte Primeiros passos com a autenticação.
Autenticação do cliente
Se for preciso que o aplicativo autentique os usuários diretamente, consiga e use credenciais em nome deles. Para saber mais, consulte Autenticação como usuário final.
Estação de trabalho do desenvolvedor
A autenticação com uma conta de serviço também é recomendada para a estação de trabalho do desenvolvedor. Para informações sobre como usar uma conta de serviço, consulte Primeiros passos com a autenticação.
Ambiente de produção fora do Google
Para um ambiente não gerenciado pelo Google, será necessário:
- criar uma conta de serviço;
- fazer o download de um arquivo de chave JSON para essa conta de serviço;
- provisionar de alguma forma esse arquivo de chave no seu ambiente de produção;
- carregar as credenciais do arquivo de chave em seu código.
Esse processo é descrito em detalhes na documentação do Google Identity.