本页介绍了如何在 Cloud KMS 中创建密钥环。一个密钥环 是 Cloud KMS 密钥和密钥版本的根资源。每个密钥环 位于指定位置内。详细了解 Cloud KMS 请参阅 Cloud KMS 资源。
准备工作
在完成本页面上的任务之前,您需要做好以下准备:
- 用于包含您的 Cloud KMS 资源。此项目称为密钥项目。周三 建议您确保密钥项目不包含 Google Cloud 资源。在密钥项目中启用 Cloud KMS API。
- 要在其中创建密钥环的位置的名称。选择靠近您的其他资源且支持您选择的保护等级的位置。查看可用位置 及其支持的保护级别,请参阅 Cloud KMS 网点。
所需的角色
如需获取创建密钥环所需的权限,
请让管理员授予您
项目或父级资源的 Cloud KMS Admin (roles/cloudkms.admin
) IAM 角色。
如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
此预定义角色包含 创建密钥环所需的权限。如需查看所需的确切权限,请展开所需权限部分:
所需权限
如需创建密钥环,需要具备以下权限:
-
cloudkms.keyRings.create
-
cloudkms.keyRings.get
-
cloudkms.keyRings.list
-
cloudkms.locations.get
-
cloudkms.locations.list
-
resourcemanager.projects.get
创建密钥环
请按照以下步骤为新密钥创建密钥环。如果希望改用现有密钥环,则可以创建密钥。
控制台
转到 Google Cloud 控制台中的密钥管理页面。
点击创建密钥环。
在密钥环名称部分,输入密钥环的名称。
对于密钥环位置,选择一个位置,例如
"us-east1"
。点击创建。
gcloud
-
In the Google Cloud console, activate Cloud Shell.
-
在您的环境中,运行
gcloud kms keyrings create
命令:gcloud kms keyrings create KEY_RING \ --location LOCATION
替换以下内容:
KEY_RING
:包含密钥的密钥环的名称。LOCATION
:密钥环的 Cloud KMS 位置。
如需了解所有标志和可能值,请使用
--help
标志运行命令。
C#
要运行此代码,请先设置 C# 开发环境并安装 Cloud KMS C# SDK。
Go
要运行此代码,请先设置 Go 开发环境并安装 Cloud KMS Go SDK。
Java
要运行此代码,请先设置 Java 开发环境并安装 Cloud KMS Java SDK。
Node.js
要运行此代码,请先设置 Node.js 开发环境并安装 Cloud KMS Node.js SDK。
PHP
要运行此代码,请先了解如何在 Google Cloud 上使用 PHP 并安装 Cloud KMS PHP SDK。
Python
要运行此代码,请先设置 Python 开发环境并安装 Cloud KMS Python SDK。
Ruby
要运行此代码,请先设置 Ruby 开发环境并安装 Cloud KMS Ruby SDK。
API
这些示例使用 curl 作为 HTTP 客户端来演示如何使用 API。如需详细了解访问权限控制,请参阅访问 Cloud KMS API。
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings?key_ring_id=KEY_RING" \ --request "POST" \ --header "authorization: Bearer TOKEN"
替换以下内容:
PROJECT_ID
:包含密钥环的项目的 ID。KEY_RING
:包含密钥的密钥环的名称。LOCATION
:密钥环的 Cloud KMS 位置。
如需了解详情,请参阅 KeyRing.create
API 文档。