Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.
Guida rapida: creare chiavi di crittografia con Cloud KMS

Creare chiavi di crittografia con Cloud KMS

Questa guida rapida mostra come creare e utilizzare le chiavi di crittografia con Cloud Key Management Service in un tuo progetto. Queste istruzioni utilizzano Google Cloud Console per creare keyring, chiavi e versioni delle chiavi in Cloud KMS. Per le istruzioni che utilizzano altri metodi, consulta le guide illustrative.

Questa guida rapida utilizza la riga di comando per inviare richieste all'API Cloud KMS. Per esempi di programmazione che utilizzano le librerie client per inviare richieste all'API Cloud KMS, consulta la sezione Crittografia e decriptazione.

Prima di iniziare

  1. Accedi al tuo account Google Cloud. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.
  2. Nella pagina del selettore dei progetti in Google Cloud Console, seleziona o crea un progetto Google Cloud.

    Vai al selettore progetti

  3. Assicurati che la fatturazione sia attivata per il tuo progetto Cloud. Scopri come verificare se la fatturazione è abilitata su un progetto.

  4. Attiva l'API Cloud KMS.

    Abilita l'API

  5. Installa e inizializza Google Cloud CLI.
  6. Nella pagina del selettore dei progetti in Google Cloud Console, seleziona o crea un progetto Google Cloud.

    Vai al selettore progetti

  7. Assicurati che la fatturazione sia attivata per il tuo progetto Cloud. Scopri come verificare se la fatturazione è abilitata su un progetto.

  8. Attiva l'API Cloud KMS.

    Abilita l'API

  9. Installa e inizializza Google Cloud CLI.

Keyring e chiavi

Per criptare e decriptare i contenuti devi avere una chiave Cloud KMS, che fa parte di un keyring.

Crea un keyring denominato test e una chiave denominata quickstart. Fai riferimento alla panoramica sulla gerarchia degli oggetti per ulteriori informazioni su questi oggetti e sulla loro correlazione.

gcloud kms keyrings create "test" \
    --location "global"
gcloud kms keys create "quickstart" \
    --location "global" \
    --keyring "test" \
    --purpose "encryption"

Puoi utilizzare l'opzione list per visualizzare il nome e i metadati della chiave appena creata.

gcloud kms keys list \
    --location "global" \
    --keyring "test"

Dovresti vedere:

NAME                                                                      PURPOSE          PRIMARY_STATE
projects/project-id/locations/global/keyRings/test/cryptoKeys/quickstart  ENCRYPT_DECRYPT  ENABLED

Cripta i dati

Ora che disponi di una chiave, puoi utilizzarla per criptare contenuti testuali o binari.

Archivia qualche testo da criptare in un file chiamato "mysecret.txt".

echo -n "Some text to be encrypted" > mysecret.txt

Per criptare i dati con gcloud kms encrypt, fornisci le tue informazioni chiave, specifica il nome del file in testo normale da criptare e il nome del file che includerà i contenuti criptati:

gcloud kms encrypt \
    --location "global" \
    --keyring "test" \
    --key "quickstart" \
    --plaintext-file ./mysecret.txt \
    --ciphertext-file ./mysecret.txt.encrypted

Il metodo encrypt salva i tuoi contenuti criptati nel file specificato dal flag --ciphertext-file.

Decripta il testo di crittografia

Per decriptare i dati con gcloud kms decrypt, fornisci le tue informazioni chiave, specifica il nome del file criptato (file di crittografia) da decriptare e il nome del file che conterrà i contenuti decriptati:

gcloud kms decrypt \
    --location "global" \
    --keyring "test" \
    --key "quickstart" \
    --ciphertext-file ./mysecret.txt.encrypted \
    --plaintext-file ./mysecret.txt.decrypted

Il metodo decrypt salva i contenuti decriptati nel file specificato dal flag --plaintext-file.

Per decriptare i contenuti criptati, devi usare la stessa chiave usata per criptare i contenuti.

Esegui la pulizia

Per evitare che al tuo account Google Cloud vengano addebitati costi relativi alle risorse utilizzate in questa pagina, segui questi passaggi:

Elenca le versioni disponibili per la tua chiave:

gcloud kms keys versions list \
    --location "global" \
    --keyring "test" \
    --key "quickstart"

Per eliminare una versione, esegui il comando seguente, sostituendo key-version con il numero della versione della chiave da eliminare:

gcloud kms keys versions destroy key-version \
    --location "global" \
    --keyring "test" \
    --key "quickstart"

Passaggi successivi

  • Inizia a utilizzare l'API.
  • Consulta il riferimento API.
  • Leggi le guide illustrative per iniziare a creare, ruotare e impostare autorizzazioni per le chiavi.
  • Leggi l'articolo Concetti per comprendere meglio la gerarchia degli oggetti, gli stati delle chiavi e la rotazione delle chiavi.