Creazione di chiavi di crittografia con Cloud KMS
Questa guida rapida utilizza la riga di comando per inviare richieste all'API Cloud KMS. Per esempi di programmazione che utilizzano le librerie client per inviare richieste all'API Cloud KMS, consulta Crittografia e decriptazione.
Prima di iniziare
- Accedi al tuo account Google Cloud. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.
-
Nella pagina del selettore di progetti della console Google Cloud, seleziona o crea un progetto Google Cloud.
-
Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.
-
Attiva l'API Cloud KMS.
- Installa Google Cloud CLI.
-
Per initialize gcloud CLI, esegui questo comando:
gcloud init
-
Nella pagina del selettore di progetti della console Google Cloud, seleziona o crea un progetto Google Cloud.
-
Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.
-
Attiva l'API Cloud KMS.
- Installa Google Cloud CLI.
-
Per initialize gcloud CLI, esegui questo comando:
gcloud init
Keyring e chiavi
Per criptare e decriptare i contenuti, devi avere una chiave Cloud KMS, che fa parte di un keyring.
Crea un keyring denominato test e una chiave denominata quickstart. Per ulteriori informazioni su questi oggetti e sulla loro correlazione, consulta la panoramica della gerarchia degli oggetti.
gcloud kms keyrings create "test" \
--location "global"
gcloud kms keys create "quickstart" \
--location "global" \
--keyring "test" \
--purpose "encryption"
Puoi utilizzare l'opzione list per visualizzare il nome e i metadati della chiave appena creata.
gcloud kms keys list \
--location "global" \
--keyring "test"
Dovresti vedere:
NAME PURPOSE PRIMARY_STATE projects/project-id/locations/global/keyRings/test/cryptoKeys/quickstart ENCRYPT_DECRYPT ENABLED
Cripta i dati
Ora che hai una chiave, puoi utilizzarla per criptare contenuti testuali o binari.
Archivia parte del testo da criptare in un file chiamato "mysecret.txt".
echo -n "Some text to be encrypted" > mysecret.txt
Per criptare i dati con gcloud kms encrypt, fornisci le informazioni sulla chiave, specifica il nome del file in testo non crittografato da criptare e specifica il nome del file che conterrà i contenuti criptati:
gcloud kms encrypt \
--location "global" \
--keyring "test" \
--key "quickstart" \
--plaintext-file ./mysecret.txt \
--ciphertext-file ./mysecret.txt.encrypted
Il metodo encrypt salva i tuoi contenuti criptati nel file specificato dal flag --ciphertext-file.
Decripta testo crittografato
Per decriptare i dati con gcloud kms decrypt, fornisci le informazioni sulla chiave, specifica il nome del file criptato (file di testo crittografato) da decriptare e indica il nome del file che conterrà i contenuti decriptati:
gcloud kms decrypt \
--location "global" \
--keyring "test" \
--key "quickstart" \
--ciphertext-file ./mysecret.txt.encrypted \
--plaintext-file ./mysecret.txt.decrypted
Il metodo decrypt salva i contenuti decriptati nel file specificato dal flag --plaintext-file.
Per decriptare i contenuti criptati, devi utilizzare la stessa chiave che è stata utilizzata per criptare i contenuti.
Esegui la pulizia
Per evitare che al tuo account Google Cloud vengano addebitati costi relativi alle risorse utilizzate in questa pagina, segui questi passaggi.
Elenca le versioni disponibili per la chiave:
gcloud kms keys versions list \
--location "global" \
--keyring "test" \
--key "quickstart"
Per eliminare una versione, esegui questo comando, sostituendo key-version con il numero della versione della chiave da eliminare:
gcloud kms keys versions destroy key-version \
--location "global" \
--keyring "test" \
--key "quickstart"
Passaggi successivi
- Inizia a utilizzare l'API.
- Consulta la documentazione di riferimento API.
- Scopri di più su come criptare i dati at-rest.