Questa pagina mostra come creare una chiave in Cloud KMS. Una chiave può essere una chiave di crittografia simmetrica o asimmetrica, una chiave di firma asimmetrica o una chiave di firma MAC.
Quando crei una chiave, la aggiungi a un keyring in una specifica località Cloud KMS. Puoi creare un nuovo keyring o utilizzarne uno esistente. In questa pagina genererai una nuova chiave Cloud KMS o Cloud HSM e la aggiungerai a un keyring esistente. Per creare una chiave Cloud EKM, consulta Creare una chiave esterna. Per importare una chiave Cloud KMS o Cloud HSM, consulta Importare una chiave.
Prima di iniziare
Prima di completare le attività in questa pagina, è necessario quanto segue:
- Una risorsa di progetto Google Cloud per contenere le risorse Cloud KMS. Ti consigliamo di utilizzare un progetto separato per le risorse Cloud KMS che non contenga altre risorse Google Cloud.
- Il nome e la posizione del keyring in cui vuoi creare la chiave. Scegli un keyring in una posizione vicina alle altre risorse e che supporti il livello di protezione desiderato. Per visualizzare le località disponibili e i livelli di protezione supportati, vedi Località di Cloud KMS. Per creare un keyring, consulta Creare un keyring.
- (Facoltativo) Per utilizzare gcloud CLI, prepara il tuo ambiente.
Interfaccia a riga di comando gcloud
Nella console Google Cloud, attiva Cloud Shell.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per creare le chiavi, chiedi all'amministratore di concederti il ruolo IAM Amministratore Cloud KMS (roles/cloudkms.admin
) per il progetto o per una risorsa padre.
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.
Questo ruolo predefinito contiene le autorizzazioni necessarie per creare chiavi. Per visualizzare esattamente le autorizzazioni necessarie, espandi la sezione Autorizzazioni obbligatorie:
Autorizzazioni obbligatorie
Per creare chiavi sono necessarie le seguenti autorizzazioni:
-
cloudkms.cryptoKeys.create
-
cloudkms.cryptoKeys.get
-
cloudkms.cryptoKeys.list
-
cloudkms.cryptoKeyVersions.create
-
cloudkms.cryptoKeyVersions.get
-
cloudkms.cryptoKeyVersions.list
-
cloudkms.keyRings.get
-
cloudkms.keyRings.list
-
cloudkms.locations.get
-
cloudkms.locations.list
-
resourcemanager.projects.get
-
Per recuperare una chiave pubblica:
cloudkms.cryptoKeyVersions.viewPublicKey
Potresti anche riuscire a ottenere queste autorizzazioni con i ruoli personalizzati o altri ruoli predefiniti.
Crea una chiave di crittografia simmetrica
Console
Nella console Google Cloud, vai alla pagina Gestione delle chiavi.
Fai clic sul nome del keyring per il quale creerai una chiave.
Fai clic su Crea chiave.
In Nome chiave, inserisci un nome per la chiave.
Per Livello di protezione, seleziona Software o HSM.
Per Materiale chiave, seleziona Chiave generata.
Per Scopo, seleziona Crittografia/decrittografia simmetrica.
Accetta i valori predefiniti per Periodo di rotazione e A partire dal giorno.
Fai clic su Crea.
gcloud
Per utilizzare Cloud KMS nella riga di comando, devi prima installare o eseguire l'upgrade alla versione più recente di Google Cloud CLI.
gcloud kms keys create KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --purpose "encryption" \ --protection-level "PROTECTION_LEVEL"
Sostituisci quanto segue:
KEY_NAME
: il nome della chiave.KEY_RING
: il nome del keyring che contiene la chiave.LOCATION
: la località Cloud KMS del keyring.PROTECTION_LEVEL
: il livello di protezione da utilizzare per la chiave, ad esempiosoftware
ohsm
. Puoi omettere il flag--protection-level
persoftware
chiavi.
Per informazioni su tutti i flag e sui possibili valori, esegui il comando con il
flag --help
.
C#
Per eseguire questo codice, prima configura un ambiente di sviluppo C# e installa l'SDK C# di Cloud KMS.
Go
Per eseguire questo codice, configura prima un ambiente di sviluppo Go e installa l'SDK Cloud KMS Go.
Java
Per eseguire questo codice, prima configura un ambiente di sviluppo Java e installa l'SDK Java di Cloud KMS.
Node.js
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Node.js e installare l'SDK Node.js di Cloud KMS.
PHP
Per eseguire questo codice, scopri innanzitutto come utilizzare PHP su Google Cloud e installa l'SDK PHP di Cloud KMS.
Python
Per eseguire questo codice, configura prima un ambiente di sviluppo Python e installa l'SDK per Python di Cloud KMS.
Ruby
Per eseguire questo codice, prima configura un ambiente di sviluppo Ruby e installa l'SDK Ruby di Cloud KMS.
API
In questi esempi viene usato curl come client HTTP per dimostrare l'utilizzo dell'API. Per ulteriori informazioni sul controllo dell'accesso, consulta Accesso all'API Cloud KMS.
Per creare una chiave, utilizza il metodo CryptoKey.create
:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys?crypto_key_id=KEY_NAME" \ --request "POST" \ --header "authorization: Bearer TOKEN" \ --header "content-type: application/json" \ --data '{"purpose": "ENCRYPT_DECRYPT", "versionTemplate": { "protectionLevel": "PROTECTION_LEVEL", "algorithm": "ALGORITHM" }}'
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto che contiene il keyring.LOCATION
: la località Cloud KMS del keyring.KEY_RING
: il nome del keyring che contiene la chiave.KEY_NAME
: il nome della chiave.PROTECTION_LEVEL
: il livello di protezione della chiave, ad esempioSOFTWARE
oHSM
.ALGORITHM
: l'algoritmo di firma HMAC, ad esempioHMAC_SHA256
. Per visualizzare tutti gli algoritmi HMAC supportati, vedi Algoritmi di firma HMAC.
Crea una chiave di crittografia simmetrica con rotazione automatica personalizzata
Quando crei una chiave, puoi specificarne il periodo di rotazione, ovvero il tempo che intercorre tra la creazione automatica delle nuove versioni della chiave. Puoi anche specificare in modo indipendente l'ora di rotazione successiva, in modo che quest'ultima avvenga prima o dopo un periodo di rotazione a partire da ora.
Console
Quando utilizzi la console Google Cloud per creare una chiave, Cloud KMS imposta automaticamente il periodo di rotazione e l'ora della rotazione successiva. Puoi scegliere di usare i valori predefiniti o specificare valori diversi.
Per specificare un periodo di rotazione e un'ora di inizio diversi, quando crei la chiave, ma prima di fare clic sul pulsante Crea:
Seleziona un'opzione per Periodo di rotazione della chiave.
Per A partire dal giorno, seleziona la data in cui vuoi che venga eseguita la prima rotazione automatica. Puoi lasciare invariato il valore predefinito per Inizio il per avviare il primo periodo di rotazione automatica della chiave dal momento della creazione della chiave.
gcloud
Per utilizzare Cloud KMS nella riga di comando, devi prima installare o eseguire l'upgrade alla versione più recente di Google Cloud CLI.
gcloud kms keys create KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --purpose "encryption" \ --rotation-period ROTATION_PERIOD \ --next-rotation-time NEXT_ROTATION_TIME
Sostituisci quanto segue:
KEY_NAME
: il nome della chiave.KEY_RING
: il nome del keyring che contiene la chiave.LOCATION
: la località Cloud KMS del keyring.ROTATION_PERIOD
: l'intervallo per ruotare la chiave, ad esempio30d
per ruotare la chiave ogni 30 giorni. Il periodo di rotazione deve essere di almeno 1 giorno e non più di 100 anni. Per ulteriori informazioni, consulta CryptoKey.rotationPeriod.NEXT_ROTATION_TIME
: il timestamp in cui completare la prima rotazione, ad esempio"2023-01-01T01:02:03"
. Puoi omettere--next-rotation-time
per pianificare la prima rotazione per 7 giorni dopo l'esecuzione del comando. Per ulteriori informazioni, consulta CryptoKey.nextRotationTime.
Per informazioni su tutti i flag e sui possibili valori, esegui il comando con il
flag --help
.
C#
Per eseguire questo codice, prima configura un ambiente di sviluppo C# e installa l'SDK C# di Cloud KMS.
Go
Per eseguire questo codice, configura prima un ambiente di sviluppo Go e installa l'SDK Cloud KMS Go.
Java
Per eseguire questo codice, prima configura un ambiente di sviluppo Java e installa l'SDK Java di Cloud KMS.
Node.js
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Node.js e installare l'SDK Node.js di Cloud KMS.
PHP
Per eseguire questo codice, scopri innanzitutto come utilizzare PHP su Google Cloud e installa l'SDK PHP di Cloud KMS.
Python
Per eseguire questo codice, configura prima un ambiente di sviluppo Python e installa l'SDK per Python di Cloud KMS.
Ruby
Per eseguire questo codice, prima configura un ambiente di sviluppo Ruby e installa l'SDK Ruby di Cloud KMS.
API
In questi esempi viene usato curl come client HTTP per dimostrare l'utilizzo dell'API. Per ulteriori informazioni sul controllo dell'accesso, consulta Accesso all'API Cloud KMS.
Per creare una chiave, utilizza il metodo CryptoKey.create
:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys?crypto_key_id=KEY_NAME" \ --request "POST" \ --header "authorization: Bearer TOKEN" \ --header "content-type: application/json" \ --data '{"purpose": "PURPOSE", "rotationPeriod": "ROTATION_PERIOD", "nextRotationTime": "NEXT_ROTATION_TIME"}'
Sostituisci quanto segue:
PURPOSE
: lo scopo della chiave.ROTATION_PERIOD
: l'intervallo per ruotare la chiave, ad esempio30d
per ruotare la chiave ogni 30 giorni. Il periodo di rotazione deve essere di almeno 1 giorno e non più di 100 anni. Per ulteriori informazioni, consulta CryptoKey.rotationPeriod.NEXT_ROTATION_TIME
: il timestamp in cui completare la prima rotazione, ad esempio"2023-01-01T01:02:03"
. Puoi omettere--next-rotation-time
per pianificare la prima rotazione per 7 giorni dopo l'esecuzione del comando. Per ulteriori informazioni, consulta CryptoKey.nextRotationTime.
Imposta la durata dello stato "pianificata per l'eliminazione"
Per impostazione predefinita, le versioni della chiave in Cloud KMS trascorrono 30 giorni in stato
pianificato per l'eliminazione (DESTROY_SCHEDULED
) prima di essere
eliminate. Lo stato per l'eliminazione pianificata a volte è chiamato stato di eliminazione temporanea. Il periodo di tempo durante il quale le versioni della chiave rimangono in questo stato
è configurabile con i seguenti vincoli:
- Puoi impostare la durata solo durante la creazione della chiave.
- Una volta specificata, la durata della chiave non può più essere modificata.
- La durata si applica a tutte le versioni della chiave create in futuro.
- La durata minima è di 24 ore per tutte le chiavi, ad eccezione delle chiavi di sola importazione che hanno una durata minima di 0.
- La durata massima è 120 giorni.
- La durata predefinita è 30 giorni.
La tua organizzazione potrebbe avere un valore minimo pianificato per la durata dell'eliminazione definito dai criteri dell'organizzazione. Per maggiori informazioni, consulta Eliminazione delle chiavi di controllo.
Per creare una chiave che utilizza una durata personalizzata per lo stato pianificata per l'eliminazione, segui questi passaggi:
Console
Nella console Google Cloud, vai alla pagina Gestione delle chiavi.
Fai clic sul nome del keyring per il quale creerai una chiave.
Fai clic su Crea chiave.
Configura le impostazioni della chiave per la tua applicazione.
Fai clic su Impostazioni aggiuntive.
In Durata dello stato "pianificata per l'eliminazione", scegli il numero di giorni in cui la chiave rimarrà pianificata per l'eliminazione prima di essere eliminata definitivamente.
Fai clic su Crea chiave.
gcloud
Per utilizzare Cloud KMS nella riga di comando, devi prima installare o eseguire l'upgrade alla versione più recente di Google Cloud CLI.
gcloud kms keys create KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --purpose PURPOSE \ --destroy-scheduled-duration DURATION
Sostituisci quanto segue:
KEY_NAME
: il nome della chiave.KEY_RING
: il nome del keyring che contiene la chiave.LOCATION
: la località Cloud KMS del keyring.PURPOSE
: lo scopo della chiave, ad esempioencryption
.DURATION
: il tempo necessario affinché la chiave rimanga nello stato pianificata per l'eliminazione prima di essere eliminata in modo permanente.
Per informazioni su tutti i flag e sui possibili valori, esegui il comando con il
flag --help
.
Ti consigliamo di utilizzare la durata predefinita di 24 ore per tutte le chiavi, a meno che tu non abbia requisiti normativi o dell'applicazione specifici che richiedono un valore diverso.
Crea una chiave asimmetrica
Creazione di una chiave di decriptazione asimmetrica
Segui questi passaggi per creare una chiave di decriptazione asimmetrica sul keyring e sulla località specificati. Questi esempi possono essere adattati per specificare un livello di protezione o un algoritmo diversi. Per maggiori informazioni e valori alternativi, consulta Algoritmi e Livelli di protezione.
Quando crei la chiave per la prima volta, la versione iniziale della chiave presenta lo stato In attesa di generazione. Quando lo stato passa a Attivato, puoi utilizzare la chiave. Per saperne di più sugli stati delle versioni delle chiavi, consulta Stati delle versioni delle chiavi.
Console
Nella console Google Cloud, vai alla pagina Gestione delle chiavi.
Fai clic sul nome del keyring per il quale creerai una chiave.
Fai clic su Crea chiave.
In Nome chiave, inserisci un nome per la chiave.
Per Livello di protezione, seleziona Software o HSM.
Per Materiale chiave, seleziona Chiave generata.
Per Scopo, seleziona Decriptazione asimmetrica.
Per Algoritmo, seleziona RSA a 3072 bit - Padding OAEP - Digest SHA256. Puoi modificare questo valore nelle versioni future della chiave.
Fai clic su Crea.
gcloud
Per utilizzare Cloud KMS nella riga di comando, devi prima installare o eseguire l'upgrade alla versione più recente di Google Cloud CLI.
gcloud kms keys create KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --purpose "asymmetric-encryption" \ --default-algorithm "ALGORITHM"
Sostituisci quanto segue:
KEY_NAME
: il nome della chiave.KEY_RING
: il nome del keyring che contiene la chiave.LOCATION
: la località Cloud KMS del keyring.ALGORITHM
: l'algoritmo da utilizzare per la chiave, ad esempiorsa-decrypt-oaep-3072-sha256
. Per un elenco degli algoritmi di crittografia asimmetrici supportati, consulta Algoritmi di crittografia asimmetrica.
Per informazioni su tutti i flag e sui possibili valori, esegui il comando con il
flag --help
.
C#
Per eseguire questo codice, prima configura un ambiente di sviluppo C# e installa l'SDK C# di Cloud KMS.
Go
Per eseguire questo codice, configura prima un ambiente di sviluppo Go e installa l'SDK Cloud KMS Go.
Java
Per eseguire questo codice, prima configura un ambiente di sviluppo Java e installa l'SDK Java di Cloud KMS.
Node.js
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Node.js e installare l'SDK Node.js di Cloud KMS.
PHP
Per eseguire questo codice, scopri innanzitutto come utilizzare PHP su Google Cloud e installa l'SDK PHP di Cloud KMS.
Python
Per eseguire questo codice, configura prima un ambiente di sviluppo Python e installa l'SDK per Python di Cloud KMS.
Ruby
Per eseguire questo codice, prima configura un ambiente di sviluppo Ruby e installa l'SDK Ruby di Cloud KMS.
API
In questi esempi viene usato curl come client HTTP per dimostrare l'utilizzo dell'API. Per ulteriori informazioni sul controllo dell'accesso, consulta Accesso all'API Cloud KMS.
Crea una chiave di decrittografia asimmetrica chiamando
CryptoKey.create
.
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys?crypto_key_id=KEY_NAME" \ --request "POST" \ --header "authorization: Bearer TOKEN" \ --header "content-type: application/json" \ --data '{"purpose": "ASYMMETRIC_DECRYPT", "versionTemplate": {"algorithm": "ALGORITHM"}}'
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto che contiene il keyring.LOCATION
: la località Cloud KMS del keyring.KEY_RING
: il nome del keyring che contiene la chiave.KEY_NAME
: il nome della chiave.ALGORITHM
: l'algoritmo da utilizzare per la chiave, ad esempioRSA_DECRYPT_OAEP_3072_SHA256
. Per un elenco degli algoritmi di crittografia asimmetrici supportati, consulta Algoritmi di crittografia asimmetrica.
Creazione di una chiave di firma asimmetrica
Segui questi passaggi per creare una chiave di firma asimmetrica nel keyring e nella località specificati. Questi esempi possono essere adattati per specificare un livello di protezione o un algoritmo diversi. Per maggiori informazioni e valori alternativi, consulta Algoritmi e Livelli di protezione.
Quando crei la chiave per la prima volta, la versione iniziale della chiave presenta lo stato In attesa di generazione. Quando lo stato passa a Attivato, puoi utilizzare la chiave. Per saperne di più sugli stati delle versioni delle chiavi, consulta Stati delle versioni delle chiavi.
Console
Nella console Google Cloud, vai alla pagina Gestione delle chiavi.
Fai clic sul nome del keyring per il quale creerai una chiave.
Fai clic su Crea chiave.
In Nome chiave, inserisci un nome per la chiave.
Per Livello di protezione, seleziona Software o HSM.
Per Materiale chiave, seleziona Chiave generata.
Per Finalità, seleziona Segno asimmetrico.
Per Algoritmo, seleziona Curva ellittica P-256 - Digest SHA256. Puoi modificare questo valore nelle versioni future della chiave.
Fai clic su Crea.
gcloud
Per utilizzare Cloud KMS nella riga di comando, devi prima installare o eseguire l'upgrade alla versione più recente di Google Cloud CLI.
gcloud kms keys create KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --purpose "asymmetric-signing" \ --default-algorithm "ALGORITHM"
Sostituisci quanto segue:
KEY_NAME
: il nome della chiave.KEY_RING
: il nome del keyring che contiene la chiave.LOCATION
: la località Cloud KMS del keyring.ALGORITHM
: l'algoritmo da utilizzare per la chiave, ad esempioec-sign-p256-sha256
. Per un elenco degli algoritmi supportati, vedi Algoritmi di firma asimmetrici.
Per informazioni su tutti i flag e sui possibili valori, esegui il comando con il
flag --help
.
C#
Per eseguire questo codice, prima configura un ambiente di sviluppo C# e installa l'SDK C# di Cloud KMS.
Go
Per eseguire questo codice, configura prima un ambiente di sviluppo Go e installa l'SDK Cloud KMS Go.
Java
Per eseguire questo codice, prima configura un ambiente di sviluppo Java e installa l'SDK Java di Cloud KMS.
Node.js
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Node.js e installare l'SDK Node.js di Cloud KMS.
PHP
Per eseguire questo codice, scopri innanzitutto come utilizzare PHP su Google Cloud e installa l'SDK PHP di Cloud KMS.
Python
Per eseguire questo codice, configura prima un ambiente di sviluppo Python e installa l'SDK per Python di Cloud KMS.
Ruby
Per eseguire questo codice, prima configura un ambiente di sviluppo Ruby e installa l'SDK Ruby di Cloud KMS.
API
In questi esempi viene usato curl come client HTTP per dimostrare l'utilizzo dell'API. Per ulteriori informazioni sul controllo dell'accesso, consulta Accesso all'API Cloud KMS.
Crea una chiave di firma asimmetrica chiamando
CryptoKey.create
.
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys?crypto_key_id=KEY_NAME" \ --request "POST" \ --header "authorization: Bearer TOKEN" \ --header "content-type: application/json" \ --data '{"purpose": "ASYMMETRIC_SIGN", "versionTemplate": {"algorithm": "ALGORITHM"}}'
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto che contiene il keyring.LOCATION
: la località Cloud KMS del keyring.KEY_RING
: il nome del keyring che contiene la chiave.KEY_NAME
: il nome della chiave.ALGORITHM
: l'algoritmo da utilizzare per la chiave, ad esempioEC_SIGN_P256_SHA256
. Per un elenco degli algoritmi supportati, vedi Algoritmi di firma asimmetrici.
Recupera la chiave pubblica
Quando crei una chiave asimmetrica, Cloud KMS crea una coppia di chiavi pubbliche/private. Puoi recuperare la chiave pubblica di una chiave asimmetrica abilitata in qualsiasi momento dopo la generazione della chiave.
La chiave pubblica è nel formato PEM (Privacy-Enhanced Electronic Mail). Per ulteriori informazioni, consulta le sezioni RFC 7468 Considerazioni generali e Codifica testuale delle informazioni chiave pubblica del soggetto.
Per scaricare la chiave pubblica per una versione di chiave asimmetrica esistente:
Console
Nella console Google Cloud, vai alla pagina Gestione delle chiavi.
Fai clic sul nome del keyring che contiene la chiave asimmetrica per cui vuoi recuperare la chiave pubblica.
Fai clic sul nome della chiave di cui vuoi recuperare la chiave pubblica.
Nella riga corrispondente alla versione della chiave per cui vuoi recuperare la chiave pubblica, fai clic su Mostra altro
.Fai clic su Ottieni chiave pubblica.
La chiave pubblica viene visualizzata nel prompt. Puoi copiare la chiave pubblica negli appunti. Per scaricare la chiave pubblica, fai clic su Scarica.
Se non vedi l'opzione Ottieni chiave pubblica, verifica quanto segue:
- La chiave è una chiave asimmetrica.
- La versione della chiave è abilitata.
- Disponi dell'autorizzazione
cloudkms.cryptoKeyVersions.viewPublicKey
.
Il nome file di una chiave pubblica scaricata dalla console Google Cloud ha il seguente formato:
KEY_RING-KEY_NAME-KEY_VERSION.pub
Ogni parte del nome file è separata da un trattino, ad esempio
ringname-keyname-version.pub
gcloud
Per utilizzare Cloud KMS nella riga di comando, devi prima installare o eseguire l'upgrade alla versione più recente di Google Cloud CLI.
gcloud kms keys versions get-public-key KEY_VERSION \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --output-file OUTPUT_FILE_PATH
Sostituisci quanto segue:
KEY_VERSION
: il numero di versione della chiave.KEY_NAME
: il nome della chiave.KEY_RING
: il nome del keyring che contiene la chiave.LOCATION
: la località Cloud KMS del keyring.OUTPUT_FILE_PATH
: il percorso in cui vuoi salvare il file della chiave pubblica, ad esempiopublic-key.pub
.
Per informazioni su tutti i flag e sui possibili valori, esegui il comando con il
flag --help
.
C#
Per eseguire questo codice, prima configura un ambiente di sviluppo C# e installa l'SDK C# di Cloud KMS.
Go
Per eseguire questo codice, configura prima un ambiente di sviluppo Go e installa l'SDK Cloud KMS Go.
Java
Per eseguire questo codice, prima configura un ambiente di sviluppo Java e installa l'SDK Java di Cloud KMS.
Node.js
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Node.js e installare l'SDK Node.js di Cloud KMS.
PHP
Per eseguire questo codice, scopri innanzitutto come utilizzare PHP su Google Cloud e installa l'SDK PHP di Cloud KMS.
Python
Per eseguire questo codice, configura prima un ambiente di sviluppo Python e installa l'SDK per Python di Cloud KMS.
Ruby
Per eseguire questo codice, prima configura un ambiente di sviluppo Ruby e installa l'SDK Ruby di Cloud KMS.
API
In questi esempi viene usato curl come client HTTP per dimostrare l'utilizzo dell'API. Per ulteriori informazioni sul controllo dell'accesso, consulta Accesso all'API Cloud KMS.
Recupera la chiave pubblica chiamando il metodo CryptoKeyVersions.getPublicKey.
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/KEY_VERSION/publicKey" \ --request "GET" \ --header "authorization: Bearer TOKEN"
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto che contiene il keyring.LOCATION
: la località Cloud KMS del keyring.KEY_RING
: il nome del keyring che contiene la chiave.KEY_NAME
: il nome della chiave.KEY_VERSION
: il numero di versione della chiave.
L'output dovrebbe essere simile al seguente:
{ "pem": "-----BEGIN PUBLIC KEY-----\nQ29uZ3JhdHVsYXRpb25zLCB5b3UndmUgZGlzY292ZX JlZCB0aGF0IHRoaXMgaXNuJ3QgYWN0dWFsbHkgYSBwdWJsaWMga2V5ISBIYXZlIGEgbmlj ZSBkYXkgOik=\n-----END PUBLIC KEY-----\n", "algorithm": "ALGORITHM", "pemCrc32c": "2561089887", "name": "projects/PROJECT_ID/locations/LOCATION/keyRings/ KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/ KEY_VERSION", "protectionLevel": "SOFTWARE" }
Converti una chiave pubblica in formato JWK
Cloud KMS consente di recuperare una chiave pubblica in formato PEM. Alcune applicazioni potrebbero richiedere altri formati chiave come la chiave web JSON (JWK). Per ulteriori informazioni sul formato JWK, consulta RFC 7517.
Per convertire una chiave pubblica nel formato JWK, segui questi passaggi:
Go
Per eseguire questo codice, configura prima un ambiente di sviluppo Go e installa l'SDK Cloud KMS Go.
Java
Per eseguire questo codice, prima configura un ambiente di sviluppo Java e installa l'SDK Java di Cloud KMS.
Python
Per eseguire questo codice, configura prima un ambiente di sviluppo Python e installa l'SDK per Python di Cloud KMS.
Controlla l'accesso alle chiavi asimmetriche
Un firmatario o uno strumento di convalida richiede l'autorizzazione o il ruolo appropriati nella chiave asimmetrica.
Per un utente o un servizio che eseguirà la firma, concedi l'autorizzazione
cloudkms.cryptoKeyVersions.useToSign
sulla chiave asimmetrica.Per un utente o un servizio che recupererà la chiave pubblica, concedi
cloudkms.cryptoKeyVersions.viewPublicKey
sulla chiave asimmetrica. La chiave pubblica è obbligatoria per la convalida della firma.
Per ulteriori informazioni sulle autorizzazioni e sui ruoli nella release di Cloud KMS, vedi Autorizzazioni e ruoli.
Creare una chiave di firma MAC
Console
Nella console Google Cloud, vai alla pagina Gestione delle chiavi.
Fai clic sul nome del keyring per il quale creerai una chiave.
Fai clic su Crea chiave.
In Nome chiave, inserisci un nome per la chiave.
Per Livello di protezione, seleziona Software o HSM.
Per Materiale chiave, seleziona Chiave generata.
Per Scopo, seleziona Firma/verifica MAC.
(Facoltativo) Per Algoritmo, seleziona un algoritmo di firma HMAC.
Fai clic su Crea.
gcloud
Per utilizzare Cloud KMS nella riga di comando, devi prima installare o eseguire l'upgrade alla versione più recente di Google Cloud CLI.
gcloud kms keys create KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --purpose "mac" \ --default-algorithm "ALGORITHM" \ --protection-level "PROTECTION_LEVEL"
Sostituisci quanto segue:
KEY_NAME
: il nome della chiave.KEY_RING
: il nome del keyring che contiene la chiave.LOCATION
: la località Cloud KMS del keyring.ALGORITHM
: l'algoritmo di firma HMAC, ad esempiohmac-sha256
. Per visualizzare tutti gli algoritmi HMAC supportati, vedi Algoritmi di firma HMAC.PROTECTION_LEVEL
: il livello di protezione della chiave, ad esempiohsm
. Puoi omettere il flag--protection-level
per le chiavisoftware
.
Per informazioni su tutti i flag e sui possibili valori, esegui il comando con il
flag --help
.
C#
Per eseguire questo codice, prima configura un ambiente di sviluppo C# e installa l'SDK C# di Cloud KMS.
Go
Per eseguire questo codice, configura prima un ambiente di sviluppo Go e installa l'SDK Cloud KMS Go.
Java
Per eseguire questo codice, prima configura un ambiente di sviluppo Java e installa l'SDK Java di Cloud KMS.
Node.js
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Node.js e installare l'SDK Node.js di Cloud KMS.
PHP
Per eseguire questo codice, scopri innanzitutto come utilizzare PHP su Google Cloud e installa l'SDK PHP di Cloud KMS.
Python
Per eseguire questo codice, configura prima un ambiente di sviluppo Python e installa l'SDK per Python di Cloud KMS.
Ruby
Per eseguire questo codice, prima configura un ambiente di sviluppo Ruby e installa l'SDK Ruby di Cloud KMS.
API
In questi esempi viene usato curl come client HTTP per dimostrare l'utilizzo dell'API. Per ulteriori informazioni sul controllo dell'accesso, consulta Accesso all'API Cloud KMS.
Per creare una chiave, utilizza il metodo CryptoKey.create
:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys?crypto_key_id=KEY_NAME" \ --request "POST" \ --header "authorization: Bearer TOKEN" \ --header "content-type: application/json" \ --data '{"purpose": "MAC", "versionTemplate": { "protectionLevel": "PROTECTION_LEVEL", "algorithm": "ALGORITHM" }}'
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto che contiene il keyring.LOCATION
: la località Cloud KMS del keyring.KEY_RING
: il nome del keyring che contiene la chiave.KEY_NAME
: il nome della chiave.PROTECTION_LEVEL
: il livello di protezione della chiave, ad esempioSOFTWARE
oHSM
.ALGORITHM
: l'algoritmo di firma HMAC, ad esempioHMAC_SHA256
. Per visualizzare tutti gli algoritmi HMAC supportati, vedi Algoritmi di firma HMAC.
Passaggi successivi
- Scopri di più sulla rotazione delle chiavi.
- Scopri di più sulla creazione e convalida delle firme.
- Scopri di più su come criptare e decriptare i dati con una chiave RSA.
- Scopri di più sul recupero di una chiave pubblica.