Nesta página, mostramos como criar uma chave no Cloud KMS. Uma chave pode ser uma chave de criptografia simétrica ou assimétrica, uma chave de assinatura assimétrica ou uma chave de assinatura MAC.
Ao criar uma chave, você a adiciona a um keyring em um local específico do Cloud KMS. É possível criar um novo keyring ou usar um atual. Nesta página, você gera uma nova chave do Cloud KMS ou do Cloud HSM e a adiciona a um keyring atual. Para criar uma chave do Cloud EKM, consulte Criar uma chave externa. Para importar uma chave do Cloud KMS ou do Cloud HSM, consulte Importar uma chave.
Antes de começar
Antes de concluir as tarefas nesta página, você precisa do seguinte:
- um recurso de projeto do Google Cloud para conter os recursos do Cloud KMS. Recomendamos usar um projeto separado para os recursos do Cloud KMS que não contenha nenhum outro recurso do Google Cloud.
- O nome e o local do keyring em que você quer criar a chave. Escolha um keyring em um local próximo aos outros recursos e que seja compatível com o nível de proteção desejado. Para ver os locais disponíveis e os níveis de proteção compatíveis, consulte Locais do Cloud KMS. Para criar um keyring, consulte Criar um keyring.
- Opcional: prepare o ambiente para usar a CLI gcloud.
CLI da gcloud
No Console do Google Cloud, ative o Cloud Shell.
Funções exigidas
Para receber as permissões necessárias para criar chaves,
peça ao administrador para conceder a você o papel do IAM
Administrador do Cloud KMS (roles/cloudkms.admin
) no projeto ou em um recurso pai.
Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.
Esse papel predefinido contém as permissões necessárias para criar chaves. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:
Permissões necessárias
As seguintes permissões são necessárias para criar chaves:
-
cloudkms.cryptoKeys.create
-
cloudkms.cryptoKeys.get
-
cloudkms.cryptoKeys.list
-
cloudkms.cryptoKeyVersions.create
-
cloudkms.cryptoKeyVersions.get
-
cloudkms.cryptoKeyVersions.list
-
cloudkms.keyRings.get
-
cloudkms.keyRings.list
-
cloudkms.locations.get
-
cloudkms.locations.list
-
resourcemanager.projects.get
-
Para recuperar uma chave pública:
cloudkms.cryptoKeyVersions.viewPublicKey
Também é possível receber essas permissões com papéis personalizados ou outros papéis predefinidos.
Criar uma chave de criptografia simétrica
Console
No console do Google Cloud, acesse a página Gerenciamento de chaves.
Clique no nome do keyring em que a chave será criada.
Clique em Criar chave.
Em Nome da chave, insira um nome para a chave.
Em Nível de proteção, selecione Software ou HSM.
Em Material da chave, selecione Chave gerada.
Em Finalidade, selecione Criptografia/descriptografia simétrica.
Aceite os valores padrão para Período de rotação e A partir de.
Clique em Criar.
gcloud
Para usar o Cloud KMS na linha de comando, primeiro instale ou faça upgrade para a versão mais recente da Google Cloud CLI.
gcloud kms keys create KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --purpose "encryption" \ --protection-level "PROTECTION_LEVEL"
Substitua:
KEY_NAME
: o nome da chave;KEY_RING
: o nome do keyring que contém a chave.LOCATION
: o local do keyring no Cloud KMS.PROTECTION_LEVEL
: o nível de proteção a ser usado para a chave, por exemplo,software
ouhsm
. É possível omitir a sinalização--protection-level
para chavessoftware
.
Para informações sobre todas as sinalizações e valores possíveis, execute o comando com a sinalização --help
.
C#
Para executar esse código, primeiro configure um ambiente de desenvolvimento C# e instale o SDK do Cloud KMS para C#.
Go
Para executar esse código, primeiro configure um ambiente de desenvolvimento Go e instale o SDK do Cloud KMS para Go.
Java
Para executar esse código, primeiro configure um ambiente de desenvolvimento Java e instale o SDK do Cloud KMS para Java.
Node.js
Para executar esse código, primeiro configure um ambiente de desenvolvimento do Node.js e instale o SDK do Cloud KMS para Node.js.
PHP
Para executar esse código, primeiro saiba como usar o PHP no Google Cloud e instalar o SDK do Cloud KMS para PHP.
Python
Para executar esse código, primeiro configure um ambiente de desenvolvimento Python e instale o SDK do Cloud KMS para Python.
Ruby
Para executar esse código, primeiro configure um ambiente de desenvolvimento Ruby e instale o SDK do Cloud KMS para Ruby.
API
Estes exemplos usam curl como um cliente HTTP para demonstrar o uso da API. Para mais informações sobre controle de acesso, consulte Como acessar a API Cloud KMS.
Para criar uma chave, use o
método
CryptoKey.create
:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys?crypto_key_id=KEY_NAME" \ --request "POST" \ --header "authorization: Bearer TOKEN" \ --header "content-type: application/json" \ --data '{"purpose": "ENCRYPT_DECRYPT", "versionTemplate": { "protectionLevel": "PROTECTION_LEVEL", "algorithm": "ALGORITHM" }}'
Substitua:
PROJECT_ID
: o ID do projeto que contém o keyring.LOCATION
: o local do keyring no Cloud KMS.KEY_RING
: o nome do keyring que contém a chave.KEY_NAME
: o nome da chave;PROTECTION_LEVEL
: o nível de proteção da chave. Por exemplo,SOFTWARE
ouHSM
.ALGORITHM
: o algoritmo de assinatura HMAC, por exemplo,HMAC_SHA256
. Para ver todos os algoritmos HMAC compatíveis, consulte Algoritmos de assinatura HMAC.
Criar uma chave de criptografia simétrica com rotação automática personalizada
Ao criar uma chave, é possível especificar o período de rotação, que é o tempo entre a criação automática de novas versões da chave. Também é possível especificar de maneira independente o tempo da próxima rotação para que ela ocorra antes ou depois de um período de rotação a partir de agora.
Console
Quando você usa o console do Google Cloud para criar uma chave, o Cloud KMS define o período e o tempo da próxima rotação automaticamente. É possível usar os valores padrão ou especificar valores diferentes.
Para especificar um período de rotação e um horário de início diferentes, quando estiver criando a chave, mas antes de clicar no botão Criar:
Em Período de rotação de chaves, selecione uma opção.
Em A partir de, selecione a data em que você quer que a primeira rotação automática aconteça. É possível deixar Começando em com o valor padrão para iniciar a primeira rotação automática um período de rotação de chaves a partir de quando você cria a chave.
gcloud
Para usar o Cloud KMS na linha de comando, primeiro instale ou faça upgrade para a versão mais recente da Google Cloud CLI.
gcloud kms keys create KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --purpose "encryption" \ --rotation-period ROTATION_PERIOD \ --next-rotation-time NEXT_ROTATION_TIME
Substitua:
KEY_NAME
: o nome da chave;KEY_RING
: o nome do keyring que contém a chave.LOCATION
: o local do keyring no Cloud KMS.ROTATION_PERIOD
: o intervalo para rotacionar a chave. Por exemplo,30d
para fazer a rotação a cada 30 dias. O período de rotação precisa ser de no mínimo 1 dia e no máximo 100 anos. Para mais informações, consulte CryptoKey.rotationPeriod.NEXT_ROTATION_TIME
: o carimbo de data/hora em que a primeira rotação será concluída, por exemplo,"2023-01-01T01:02:03"
. É possível omitir--next-rotation-time
para programar a primeira rotação para sete dias a partir do momento em que executar o comando. Para mais informações, consulte CryptoKey.nextRotationTime.
Para informações sobre todas as sinalizações e valores possíveis, execute o comando com a sinalização --help
.
C#
Para executar esse código, primeiro configure um ambiente de desenvolvimento C# e instale o SDK do Cloud KMS para C#.
Go
Para executar esse código, primeiro configure um ambiente de desenvolvimento Go e instale o SDK do Cloud KMS para Go.
Java
Para executar esse código, primeiro configure um ambiente de desenvolvimento Java e instale o SDK do Cloud KMS para Java.
Node.js
Para executar esse código, primeiro configure um ambiente de desenvolvimento do Node.js e instale o SDK do Cloud KMS para Node.js.
PHP
Para executar esse código, primeiro saiba como usar o PHP no Google Cloud e instalar o SDK do Cloud KMS para PHP.
Python
Para executar esse código, primeiro configure um ambiente de desenvolvimento Python e instale o SDK do Cloud KMS para Python.
Ruby
Para executar esse código, primeiro configure um ambiente de desenvolvimento Ruby e instale o SDK do Cloud KMS para Ruby.
API
Estes exemplos usam curl como um cliente HTTP para demonstrar o uso da API. Para mais informações sobre controle de acesso, consulte Como acessar a API Cloud KMS.
Para criar uma chave, use o
método
CryptoKey.create
:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys?crypto_key_id=KEY_NAME" \ --request "POST" \ --header "authorization: Bearer TOKEN" \ --header "content-type: application/json" \ --data '{"purpose": "PURPOSE", "rotationPeriod": "ROTATION_PERIOD", "nextRotationTime": "NEXT_ROTATION_TIME"}'
Substitua:
PURPOSE
: a finalidade da chave.ROTATION_PERIOD
: o intervalo para rotacionar a chave. Por exemplo,30d
para fazer a rotação a cada 30 dias. O período de rotação precisa ser de no mínimo 1 dia e no máximo 100 anos. Para mais informações, consulte CryptoKey.rotationPeriod.NEXT_ROTATION_TIME
: o carimbo de data/hora em que a primeira rotação será concluída, por exemplo,"2023-01-01T01:02:03"
. É possível omitir--next-rotation-time
para programar a primeira rotação para sete dias a partir do momento em que executar o comando. Para mais informações, consulte CryptoKey.nextRotationTime.
Define a duração do estado "programado para destruição"
Por padrão, as versões de chave no Cloud KMS passam 30 dias no estado
programado para destruição (DESTROY_SCHEDULED
) antes de serem
destruídas. O estado de destruição programado às vezes é chamado de
estado de exclusão reversível. É possível configurar o tempo que as versões de chave permanecerão nesse estado, com as seguintes restrições:
- Só é possível definir a duração durante a criação da chave.
- Depois que a duração da chave for especificada, ela não poderá ser alterada.
- A duração se aplica a todas as versões da chave criadas no futuro.
- A duração mínima é de 24 horas para todas as chaves, exceto para chaves somente de importação que têm uma duração mínima de 0.
- A duração máxima é de 120 dias.
- A duração padrão é de 30 dias.
Sua organização pode ter um valor mínimo programado para a duração de destruição definido pelas políticas da organização. Para mais informações, consulte Controlar a destruição da chave.
Para criar uma chave que usa uma duração personalizada para o estado Programado para destruição, siga estas etapas:
Console
No console do Google Cloud, acesse a página Gerenciamento de chaves.
Clique no nome do keyring em que a chave será criada.
Clique em Criar chave.
Defina as configurações da chave para seu aplicativo.
Clique em Configurações avançadas.
Em Duração do estado "programado para destruição", escolha por quantos dias a chave vai permanecer programada para destruição antes de ser destruída permanentemente.
Clique em Criar chave.
gcloud
Para usar o Cloud KMS na linha de comando, primeiro instale ou faça upgrade para a versão mais recente da Google Cloud CLI.
gcloud kms keys create KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --purpose PURPOSE \ --destroy-scheduled-duration DURATION
Substitua:
KEY_NAME
: o nome da chave;KEY_RING
: o nome do keyring que contém a chave.LOCATION
: o local do keyring no Cloud KMS.PURPOSE
: o objetivo da chave, por exemplo,encryption
.DURATION
: o tempo que a chave precisa permanecer no estado programado para destruição antes de ser destruída permanentemente.
Para informações sobre todas as sinalizações e valores possíveis, execute o comando com a sinalização --help
.
Recomendamos usar a duração padrão de 24 horas para todas as chaves, a menos que você tenha requisitos regulatórios ou de aplicativo específicos que exijam um valor diferente.
crie uma chave assimétrica
Crie uma chave de descriptografia assimétrica
Siga estas etapas para criar uma chave de descriptografia assimétrica no keyring e no local especificados. Esses exemplos podem ser adaptados para especificar um nível ou algoritmo de proteção diferente. Para mais informações e valores alternativos, consulte Algoritmos e Níveis de proteção.
Quando você cria a chave pela primeira vez, a versão inicial dela apresenta o estado Pending Generation. Quando o estado mudar para Ativado, será possível usar a chave. Para saber mais sobre os estados da versão de chave, consulte Estados da versão de chave.
Console
No console do Google Cloud, acesse a página Gerenciamento de chaves.
Clique no nome do keyring em que a chave será criada.
Clique em Criar chave.
Em Nome da chave, insira um nome para a chave.
Em Nível de proteção, selecione Software ou HSM.
Em Material da chave, selecione Chave gerada.
Em Finalidade, selecione Descriptografia assimétrica.
Em Algoritmo, selecione RSA de 3072 bits - Padding OAEP - Resumo SHA256. É possível alterar esse valor em versões futuras da chave.
Clique em Criar.
gcloud
Para usar o Cloud KMS na linha de comando, primeiro instale ou faça upgrade para a versão mais recente da Google Cloud CLI.
gcloud kms keys create KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --purpose "asymmetric-encryption" \ --default-algorithm "ALGORITHM"
Substitua:
KEY_NAME
: o nome da chave;KEY_RING
: o nome do keyring que contém a chave.LOCATION
: o local do keyring no Cloud KMS.ALGORITHM
: o algoritmo a ser usado para a chave, por exemplo,rsa-decrypt-oaep-3072-sha256
. Para uma lista de algoritmos de criptografia assimétrica compatíveis, consulte Algoritmos de criptografia assimétrica.
Para informações sobre todas as sinalizações e valores possíveis, execute o comando com a sinalização --help
.
C#
Para executar esse código, primeiro configure um ambiente de desenvolvimento C# e instale o SDK do Cloud KMS para C#.
Go
Para executar esse código, primeiro configure um ambiente de desenvolvimento Go e instale o SDK do Cloud KMS para Go.
Java
Para executar esse código, primeiro configure um ambiente de desenvolvimento Java e instale o SDK do Cloud KMS para Java.
Node.js
Para executar esse código, primeiro configure um ambiente de desenvolvimento do Node.js e instale o SDK do Cloud KMS para Node.js.
PHP
Para executar esse código, primeiro saiba como usar o PHP no Google Cloud e instalar o SDK do Cloud KMS para PHP.
Python
Para executar esse código, primeiro configure um ambiente de desenvolvimento Python e instale o SDK do Cloud KMS para Python.
Ruby
Para executar esse código, primeiro configure um ambiente de desenvolvimento Ruby e instale o SDK do Cloud KMS para Ruby.
API
Estes exemplos usam curl como um cliente HTTP para demonstrar o uso da API. Para mais informações sobre controle de acesso, consulte Como acessar a API Cloud KMS.
Crie uma chave de descriptografia assimétrica chamando CryptoKey.create
.
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys?crypto_key_id=KEY_NAME" \ --request "POST" \ --header "authorization: Bearer TOKEN" \ --header "content-type: application/json" \ --data '{"purpose": "ASYMMETRIC_DECRYPT", "versionTemplate": {"algorithm": "ALGORITHM"}}'
Substitua:
PROJECT_ID
: o ID do projeto que contém o keyring.LOCATION
: o local do keyring no Cloud KMS.KEY_RING
: o nome do keyring que contém a chave.KEY_NAME
: o nome da chave;ALGORITHM
: o algoritmo a ser usado para a chave, por exemplo,RSA_DECRYPT_OAEP_3072_SHA256
. Para uma lista de algoritmos de criptografia assimétrica compatíveis, consulte Algoritmos de criptografia assimétrica.
Crie uma chave de assinatura assimétrica
Siga estas etapas para criar uma chave de assinatura assimétrica no keyring e no local especificados. Esses exemplos podem ser adaptados para especificar um nível ou algoritmo de proteção diferente. Para mais informações e valores alternativos, consulte Algoritmos e Níveis de proteção.
Quando você cria a chave pela primeira vez, a versão inicial dela apresenta o estado Pending Generation. Quando o estado mudar para Ativado, será possível usar a chave. Para saber mais sobre os estados da versão de chave, consulte Estados da versão de chave.
Console
No console do Google Cloud, acesse a página Gerenciamento de chaves.
Clique no nome do keyring em que a chave será criada.
Clique em Criar chave.
Em Nome da chave, insira um nome para a chave.
Em Nível de proteção, selecione Software ou HSM.
Em Material da chave, selecione Chave gerada.
Em Finalidade, selecione Assinatura assimétrica.
Em Algoritmo, selecione Curva elíptica P-256 - Resumo SHA256. É possível alterar esse valor em versões futuras da chave.
Clique em Criar.
gcloud
Para usar o Cloud KMS na linha de comando, primeiro instale ou faça upgrade para a versão mais recente da Google Cloud CLI.
gcloud kms keys create KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --purpose "asymmetric-signing" \ --default-algorithm "ALGORITHM"
Substitua:
KEY_NAME
: o nome da chave;KEY_RING
: o nome do keyring que contém a chave.LOCATION
: o local do keyring no Cloud KMS.ALGORITHM
: o algoritmo a ser usado para a chave, por exemplo,ec-sign-p256-sha256
. Para uma lista de algoritmos compatíveis, consulte Algoritmos de assinatura assimétrica.
Para informações sobre todas as sinalizações e valores possíveis, execute o comando com a sinalização --help
.
C#
Para executar esse código, primeiro configure um ambiente de desenvolvimento C# e instale o SDK do Cloud KMS para C#.
Go
Para executar esse código, primeiro configure um ambiente de desenvolvimento Go e instale o SDK do Cloud KMS para Go.
Java
Para executar esse código, primeiro configure um ambiente de desenvolvimento Java e instale o SDK do Cloud KMS para Java.
Node.js
Para executar esse código, primeiro configure um ambiente de desenvolvimento do Node.js e instale o SDK do Cloud KMS para Node.js.
PHP
Para executar esse código, primeiro saiba como usar o PHP no Google Cloud e instalar o SDK do Cloud KMS para PHP.
Python
Para executar esse código, primeiro configure um ambiente de desenvolvimento Python e instale o SDK do Cloud KMS para Python.
Ruby
Para executar esse código, primeiro configure um ambiente de desenvolvimento Ruby e instale o SDK do Cloud KMS para Ruby.
API
Estes exemplos usam curl como um cliente HTTP para demonstrar o uso da API. Para mais informações sobre controle de acesso, consulte Como acessar a API Cloud KMS.
Crie uma chave de assinatura assimétrica chamando CryptoKey.create
.
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys?crypto_key_id=KEY_NAME" \ --request "POST" \ --header "authorization: Bearer TOKEN" \ --header "content-type: application/json" \ --data '{"purpose": "ASYMMETRIC_SIGN", "versionTemplate": {"algorithm": "ALGORITHM"}}'
Substitua:
PROJECT_ID
: o ID do projeto que contém o keyring.LOCATION
: o local do keyring no Cloud KMS.KEY_RING
: o nome do keyring que contém a chave.KEY_NAME
: o nome da chave;ALGORITHM
: o algoritmo a ser usado para a chave, por exemplo,EC_SIGN_P256_SHA256
. Para uma lista de algoritmos compatíveis, consulte Algoritmos de assinatura assimétrica.
Recuperar a chave pública
Quando você cria uma chave assimétrica, o Cloud KMS cria um par de chaves públicas/privadas. É possível recuperar a chave pública de uma chave assimétrica ativada a qualquer momento após a geração da chave.
A chave pública está no formato Privacy-enhanced Electronic Mail (PEM). Para mais informações, consulte as seções Considerações gerais e Codificação textual de informações de chave pública do assunto do RFC 7468 (em inglês).
Para fazer o download da chave pública de uma versão de chave assimétrica atual, siga estas etapas:
Console
No console do Google Cloud, acesse a página Gerenciamento de chaves.
Clique no nome do keyring que contém a chave assimétrica para a qual você quer recuperar a chave pública.
Clique no nome da chave para a qual você quer recuperar a chave pública.
Na linha correspondente à versão da chave para a qual você quer recuperar a chave pública, clique em Ver mais
.Clique em Conseguir chave pública.
A chave pública é exibida no prompt. Você pode copiar a chave pública para a área de transferência. Para fazer o download da chave pública, clique em Fazer download.
Se a opção Conseguir chave pública não aparecer, verifique o seguinte:
- A chave é assimétrica.
- A versão da chave está ativada.
- Você tem a permissão
cloudkms.cryptoKeyVersions.viewPublicKey
.
O nome do arquivo de uma chave pública baixada do console do Google Cloud tem o seguinte formato:
KEY_RING-KEY_NAME-KEY_VERSION.pub
Cada parte do nome do arquivo é separada por um hífen, por exemplo,
ringname-keyname-version.pub
gcloud
Para usar o Cloud KMS na linha de comando, primeiro instale ou faça upgrade para a versão mais recente da Google Cloud CLI.
gcloud kms keys versions get-public-key KEY_VERSION \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --output-file OUTPUT_FILE_PATH
Substitua:
KEY_VERSION
: o número da versão da chave.KEY_NAME
: o nome da chave;KEY_RING
: o nome do keyring que contém a chave.LOCATION
: o local do keyring no Cloud KMS.OUTPUT_FILE_PATH
: o caminho em que você quer salvar o arquivo de chave pública, por exemplo,public-key.pub
.
Para informações sobre todas as sinalizações e valores possíveis, execute o comando com a sinalização --help
.
C#
Para executar esse código, primeiro configure um ambiente de desenvolvimento C# e instale o SDK do Cloud KMS para C#.
Go
Para executar esse código, primeiro configure um ambiente de desenvolvimento Go e instale o SDK do Cloud KMS para Go.
Java
Para executar esse código, primeiro configure um ambiente de desenvolvimento Java e instale o SDK do Cloud KMS para Java.
Node.js
Para executar esse código, primeiro configure um ambiente de desenvolvimento do Node.js e instale o SDK do Cloud KMS para Node.js.
PHP
Para executar esse código, primeiro saiba como usar o PHP no Google Cloud e instalar o SDK do Cloud KMS para PHP.
Python
Para executar esse código, primeiro configure um ambiente de desenvolvimento Python e instale o SDK do Cloud KMS para Python.
Ruby
Para executar esse código, primeiro configure um ambiente de desenvolvimento Ruby e instale o SDK do Cloud KMS para Ruby.
API
Estes exemplos usam curl como um cliente HTTP para demonstrar o uso da API. Para mais informações sobre controle de acesso, consulte Como acessar a API Cloud KMS.
Recupere a chave pública chamando o método CryptoKeyVersions.getPublicKey.
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/KEY_VERSION/publicKey" \ --request "GET" \ --header "authorization: Bearer TOKEN"
Substitua:
PROJECT_ID
: o ID do projeto que contém o keyring.LOCATION
: o local do keyring no Cloud KMS.KEY_RING
: o nome do keyring que contém a chave.KEY_NAME
: o nome da chave;KEY_VERSION
: o número da versão da chave.
A saída será parecida com esta:
{ "pem": "-----BEGIN PUBLIC KEY-----\nQ29uZ3JhdHVsYXRpb25zLCB5b3UndmUgZGlzY292ZX JlZCB0aGF0IHRoaXMgaXNuJ3QgYWN0dWFsbHkgYSBwdWJsaWMga2V5ISBIYXZlIGEgbmlj ZSBkYXkgOik=\n-----END PUBLIC KEY-----\n", "algorithm": "ALGORITHM", "pemCrc32c": "2561089887", "name": "projects/PROJECT_ID/locations/LOCATION/keyRings/ KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/ KEY_VERSION", "protectionLevel": "SOFTWARE" }
Converter uma chave pública para o formato JWK
O Cloud KMS permite recuperar uma chave pública no formato PEM. Alguns aplicativos podem exigir outros formatos-chave, como JSON Web Key (JWK). Para mais informações sobre o formato JWK, consulte RFC 7517 (em inglês).
Para converter uma chave pública para o formato JWK, siga estas etapas:
Go
Para executar esse código, primeiro configure um ambiente de desenvolvimento Go e instale o SDK do Cloud KMS para Go.
Java
Para executar esse código, primeiro configure um ambiente de desenvolvimento Java e instale o SDK do Cloud KMS para Java.
Python
Para executar esse código, primeiro configure um ambiente de desenvolvimento Python e instale o SDK do Cloud KMS para Python.
Controlar o acesso a chaves assimétricas
Um signatário ou validador exige a permissão ou o papel apropriado na chave assimétrica.
Para um usuário ou serviço que executará a assinatura, conceda a permissão
cloudkms.cryptoKeyVersions.useToSign
na chave assimétrica.Para um usuário ou serviço que recuperará a chave pública, conceda o
cloudkms.cryptoKeyVersions.viewPublicKey
na chave assimétrica. A chave pública é necessária para a validação da assinatura.
Saiba mais sobre permissões e papéis na versão do Cloud KMS em Permissões e papéis.
Criar uma chave de assinatura MAC
Console
No console do Google Cloud, acesse a página Gerenciamento de chaves.
Clique no nome do keyring em que a chave será criada.
Clique em Criar chave.
Em Nome da chave, insira um nome para a chave.
Para Nível de proteção, selecione Software ou HSM.
Em Material da chave, selecione Chave gerada.
Em Finalidade, selecione Assinatura/verificação MAC.
Opcional: em Algoritmo, selecione um algoritmo de assinatura HMAC.
Clique em Criar.
gcloud
Para usar o Cloud KMS na linha de comando, primeiro instale ou faça upgrade para a versão mais recente da Google Cloud CLI.
gcloud kms keys create KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --purpose "mac" \ --default-algorithm "ALGORITHM" \ --protection-level "PROTECTION_LEVEL"
Substitua:
KEY_NAME
: o nome da chave;KEY_RING
: o nome do keyring que contém a chave.LOCATION
: o local do keyring no Cloud KMS.ALGORITHM
: o algoritmo de assinatura HMAC, por exemplo,hmac-sha256
. Para ver todos os algoritmos HMAC compatíveis, consulte Algoritmos de assinatura HMAC.PROTECTION_LEVEL
: o nível de proteção da chave. Por exemplo,hsm
. É possível omitir a sinalização--protection-level
para chavessoftware
.
Para informações sobre todas as sinalizações e valores possíveis, execute o comando com a sinalização --help
.
C#
Para executar esse código, primeiro configure um ambiente de desenvolvimento C# e instale o SDK do Cloud KMS para C#.
Go
Para executar esse código, primeiro configure um ambiente de desenvolvimento Go e instale o SDK do Cloud KMS para Go.
Java
Para executar esse código, primeiro configure um ambiente de desenvolvimento Java e instale o SDK do Cloud KMS para Java.
Node.js
Para executar esse código, primeiro configure um ambiente de desenvolvimento do Node.js e instale o SDK do Cloud KMS para Node.js.
PHP
Para executar esse código, primeiro saiba como usar o PHP no Google Cloud e instalar o SDK do Cloud KMS para PHP.
Python
Para executar esse código, primeiro configure um ambiente de desenvolvimento Python e instale o SDK do Cloud KMS para Python.
Ruby
Para executar esse código, primeiro configure um ambiente de desenvolvimento Ruby e instale o SDK do Cloud KMS para Ruby.
API
Estes exemplos usam curl como um cliente HTTP para demonstrar o uso da API. Para mais informações sobre controle de acesso, consulte Como acessar a API Cloud KMS.
Para criar uma chave, use o
método
CryptoKey.create
:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys?crypto_key_id=KEY_NAME" \ --request "POST" \ --header "authorization: Bearer TOKEN" \ --header "content-type: application/json" \ --data '{"purpose": "MAC", "versionTemplate": { "protectionLevel": "PROTECTION_LEVEL", "algorithm": "ALGORITHM" }}'
Substitua:
PROJECT_ID
: o ID do projeto que contém o keyring.LOCATION
: o local do keyring no Cloud KMS.KEY_RING
: o nome do keyring que contém a chave.KEY_NAME
: o nome da chave;PROTECTION_LEVEL
: o nível de proteção da chave, por exemplo,SOFTWARE
ouHSM
.ALGORITHM
: o algoritmo de assinatura HMAC, por exemplo,HMAC_SHA256
. Para ver todos os algoritmos HMAC compatíveis, consulte Algoritmos de assinatura HMAC.
A seguir
- Saiba mais sobre a rotação de chaves.
- Saiba mais sobre Como criar e validar assinaturas.
- Saiba mais sobre Como criptografar e descriptografar dados com uma chave RSA.
- Saiba mais sobre Como recuperar uma chave pública.