En esta página, se muestra cómo crear una clave en Cloud KMS. Una clave puede ser una clave de encriptación simétrica o asimétrica, una clave de firma asimétrica o una clave de firma de MAC.
Cuando creas una clave, la agregas a un llavero de claves en un Ubicación de Cloud KMS. Puedes crear una clave nueva Ring o usar uno existente. En esta página, generas una clave de Cloud KMS o Cloud HSM nueva y la agregas el llavero de claves existente. Para crear una clave de Cloud EKM, consulta Crea un directorio . Para importar una clave de Cloud KMS o Cloud HSM, consulta Importa una clave.
Antes de comenzar
Antes de completar las tareas de esta página, debes tener lo siguiente:
- Un recurso de proyecto de Google Cloud que contenga tus recursos de Cloud KMS. Te recomendamos que uses un proyecto independiente para tus recursos de Cloud KMS que no contenga ningún otro recurso de Google Cloud.
- El nombre y la ubicación del llavero de claves en el que quieres crear la clave. Elige un llavero de claves en una ubicación que esté cerca de tus otros recursos y que admita el nivel de protección deseado. Para ver las ubicaciones disponibles y los niveles de protección que admiten, consultar Ubicaciones de Cloud KMS. Cómo crear una clave consulta Crea un llavero de claves.
- Opcional: Para usar gcloud CLI, prepara tu entorno.
gcloud CLI
In the Google Cloud console, activate Cloud Shell.
Roles obligatorios
A fin de obtener los permisos que necesitas para crear claves,
solicita a tu administrador que te otorgue el
Rol de IAM de administrador de Cloud KMS (roles/cloudkms.admin
) en el proyecto o en un recurso superior.
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
Este rol predefinido contiene los permisos necesarios para crear claves. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:
Permisos necesarios
Se requieren los siguientes permisos para crear claves:
-
cloudkms.cryptoKeys.create
-
cloudkms.cryptoKeys.get
-
cloudkms.cryptoKeys.list
-
cloudkms.cryptoKeyVersions.create
-
cloudkms.cryptoKeyVersions.get
-
cloudkms.cryptoKeyVersions.list
-
cloudkms.keyRings.get
-
cloudkms.keyRings.list
-
cloudkms.locations.get
-
cloudkms.locations.list
-
resourcemanager.projects.get
-
Para recuperar una clave pública, sigue estos pasos:
cloudkms.cryptoKeyVersions.viewPublicKey
También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.
Crear una clave de encriptación simétrica
Console
En la consola de Google Cloud, ve a la página Administración de claves.
Haz clic en el nombre del llavero de claves para el que crearás la clave.
Haz clic en Crear clave.
En Nombre de la clave, ingresa un nombre para tu clave.
En Nivel de protección, selecciona Software o HSM.
En Material de clave, selecciona Clave generada.
Para Propósito, selecciona Encriptación/desencriptación simétrica.
Acepta los valores predeterminados de Período de rotación y A partir del.
Haz clic en Crear.
gcloud
Para usar Cloud KMS en la línea de comandos, primero Instala o actualiza a la versión más reciente de Google Cloud CLI.
gcloud kms keys create KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --purpose "encryption" \ --protection-level "PROTECTION_LEVEL"
Reemplaza lo siguiente:
KEY_NAME
: el nombre de la clave.KEY_RING
: Es el nombre del llavero de claves que contiene la clave.LOCATION
: Es la ubicación de Cloud KMS del llavero de claves.PROTECTION_LEVEL
: El nivel de protección que se usará para la clave, por ejemplo,software
ohsm
. Puedes omitir el La marca--protection-level
para las teclassoftware
.
Para obtener información sobre todas las marcas y los valores posibles, ejecuta el comando con la marca --help
.
C#
Para ejecutar este código, primero configura un entorno de desarrollo de C# e instala el SDK de C# para Cloud KMS.
Go
Para ejecutar este código, primero configura un entorno de desarrollo de Go y, luego, instala el SDK de Go para Cloud KMS.
Java
Para ejecutar este código, primero configura un entorno de desarrollo de Java y, luego, instala el SDK de Java para Cloud KMS.
Node.js
Para ejecutar este código, primero configura un entorno de desarrollo de Node.js y, luego, instala el SDK de Node.js para Cloud KMS.
PHP
Para ejecutar este código, primero obtén información sobre cómo usar PHP en Google Cloud y, luego, instala el SDK de PHP para Cloud KMS.
Python
Para ejecutar este código, primero configura un entorno de desarrollo de Python y, luego, instala el SDK de Python para Cloud KMS.
Ruby
Para ejecutar este código, primero configura un entorno de desarrollo de Ruby y, luego, instala el SDK de Ruby para Cloud KMS.
API
En estos ejemplos, se usa curl como un cliente HTTP para demostrar el uso de la API. Para obtener más información sobre el control de acceso, consulta Accede a la API de Cloud KMS.
Para crear una clave, usa el
CryptoKey.create
método:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys?crypto_key_id=KEY_NAME" \ --request "POST" \ --header "authorization: Bearer TOKEN" \ --header "content-type: application/json" \ --data '{"purpose": "ENCRYPT_DECRYPT", "versionTemplate": { "protectionLevel": "PROTECTION_LEVEL", "algorithm": "ALGORITHM" }}'
Reemplaza lo siguiente:
PROJECT_ID
: Es el ID del proyecto que contiene el llavero de claves.LOCATION
: Es la ubicación de Cloud KMS del llavero de claves.KEY_RING
: Es el nombre del llavero de claves que contiene la clave.KEY_NAME
: el nombre de la clave.PROTECTION_LEVEL
: Es el nivel de protección de la por ejemplo,SOFTWARE
oHSM
.ALGORITHM
: El algoritmo de firma HMAC, por ejemplo,HMAC_SHA256
. Para ver todos los algoritmos HMAC admitidos, consulta Firma HMAC algoritmos.
Crea una clave de encriptación simétrica con rotación automática personalizada
Cuando creas una clave, puedes especificar su rotación período, que es el tiempo entre la creación automática de versiones de claves nuevas. También puedes especificar independientemente la próxima fecha de rotación para que la próxima rotación se realice antes o después de un período de rotación de ahora mismo.
Console
Cuando usas la consola de Google Cloud para crear una clave, Cloud KMS establece automáticamente el período de rotación y la próxima fecha de rotación. Puedes optar por usar los valores predeterminados o especificar valores diferentes.
Para especificar un período de rotación y tiempo de inicio diferentes, cuando estés creando tu clave, pero antes de hacer clic el botón Crear:
En Período de rotación de claves, selecciona una opción.
En A partir del, selecciona la fecha en la que deseas que se realice la primera rotación automática. Puedes dejar A partir del con su valor predeterminado: inicie la primera rotación automática un período de rotación de claves a partir del crea la clave.
gcloud
Para usar Cloud KMS en la línea de comandos, primero Instala o actualiza a la versión más reciente de Google Cloud CLI.
gcloud kms keys create KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --purpose "encryption" \ --rotation-period ROTATION_PERIOD \ --next-rotation-time NEXT_ROTATION_TIME
Reemplaza lo siguiente:
KEY_NAME
: el nombre de la clave.KEY_RING
: Es el nombre del llavero de claves que contiene la clave.LOCATION
: Es la ubicación de Cloud KMS del llavero de claves.ROTATION_PERIOD
: Es el intervalo para rotar la clave, por ejemplo,30d
para rotar la clave cada 30 días. La rotación el período debe ser de 1 día como mínimo y 100 años como máximo. Para obtener más información, consulta CryptoKey.rotationPeriod.NEXT_ROTATION_TIME
: La marca de tiempo en la que se completará la primera rotación, por ejemplo,"2023-01-01T01:02:03"
. Puedes omitir--next-rotation-time
para programar la primera rotación durante 7 días a partir de la fecha en que ejecutes la kubectl. Para obtener más información, consulta CryptoKey.nextRotationTime.
Para obtener información sobre todas las marcas y los valores posibles, ejecuta el comando con la marca --help
.
C#
Para ejecutar este código, primero configura un entorno de desarrollo de C# e instala el SDK de C# para Cloud KMS.
Go
Para ejecutar este código, primero configura un entorno de desarrollo de Go y, luego, instala el SDK de Go para Cloud KMS.
Java
Para ejecutar este código, primero configura un entorno de desarrollo de Java y, luego, instala el SDK de Java para Cloud KMS.
Node.js
Para ejecutar este código, primero configura un entorno de desarrollo de Node.js y, luego, instala el SDK de Node.js para Cloud KMS.
PHP
Para ejecutar este código, primero obtén información sobre cómo usar PHP en Google Cloud y, luego, instala el SDK de PHP para Cloud KMS.
Python
Para ejecutar este código, primero configura un entorno de desarrollo de Python y, luego, instala el SDK de Python para Cloud KMS.
Ruby
Para ejecutar este código, primero configura un entorno de desarrollo de Ruby y, luego, instala el SDK de Ruby para Cloud KMS.
API
En estos ejemplos, se usa curl como un cliente HTTP para demostrar el uso de la API. Para obtener más información sobre el control de acceso, consulta Accede a la API de Cloud KMS.
Para crear una clave, usa el
CryptoKey.create
método:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys?crypto_key_id=KEY_NAME" \ --request "POST" \ --header "authorization: Bearer TOKEN" \ --header "content-type: application/json" \ --data '{"purpose": "PURPOSE", "rotationPeriod": "ROTATION_PERIOD", "nextRotationTime": "NEXT_ROTATION_TIME"}'
Reemplaza lo siguiente:
PURPOSE
: el propósito de la clave.ROTATION_PERIOD
: el intervalo para rotar la clave, por ejemplo,30d
para rotar la clave cada 30 días La rotación el período debe ser de 1 día como mínimo y 100 años como máximo. Para obtener más información, consulta CryptoKey.rotationPeriod.NEXT_ROTATION_TIME
: La marca de tiempo en la que se completará la primera rotación, por ejemplo,"2023-01-01T01:02:03"
. Puedes omitir--next-rotation-time
para programar la primera rotación durante 7 días a partir de la fecha en que ejecutes la kubectl. Para obtener más información, consulta CryptoKey.nextRotationTime.
Establece la duración de la página de destrucción “programada para su destrucción” estado
De forma predeterminada, las versiones de claves en Cloud KMS pasan 30 días en
programada para su estado de destrucción (DESTROY_SCHEDULED
) antes de
antes de que se destruyan. A veces, el estado programado para destrucción se denomina estado borrado de forma no definitiva. La duración de la versión de clave en este estado
se puede configurar con las siguientes restricciones:
- Solo puedes establecer la duración durante la creación de la clave.
- Una vez que se especifica la duración de la clave, no se puede cambiar.
- La duración se aplica a todas las versiones de la clave creadas en el futuro.
- La duración mínima es de 24 horas para todas las claves, excepto para las claves de solo importación, que tienen una duración mínima de 0.
- La duración máxima es de 120 días.
- La duración predeterminada es de 30 días.
Es posible que tu organización tenga un valor mínimo de duración programada para la destrucción definido por las políticas de la organización. Para obtener más información, consulta Controla la destrucción de claves.
Crear una clave que use una duración personalizada para la destrucción programada sigue estos pasos:
Console
En la consola de Google Cloud, ve a la página Administración de claves.
Haz clic en el nombre del llavero de claves para el que crearás la clave.
Haz clic en Crear clave.
Configura la configuración de la clave de tu aplicación.
Haz clic en Configuración adicional.
En Duración del estado "Programada para su destrucción", elige la cantidad de días que la clave permanecerá programada para su destrucción antes de que se destruya de forma permanente.
Haz clic en Crear clave.
gcloud
Para usar Cloud KMS en la línea de comandos, primero Instala o actualiza a la versión más reciente de Google Cloud CLI.
gcloud kms keys create KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --purpose PURPOSE \ --destroy-scheduled-duration DURATION
Reemplaza lo siguiente:
KEY_NAME
: el nombre de la clave.KEY_RING
: Es el nombre del llavero de claves que contiene la clave.LOCATION
: Es la ubicación de Cloud KMS del llavero de claves.PURPOSE
: El propósito de la clave, por ejemplo,encryption
DURATION
: Es la cantidad de tiempo que la clave permanecerá en el estado programada para su destrucción antes de destruirse de forma permanente.
Para obtener información sobre todas las marcas y los valores posibles, ejecuta el comando con la marca --help
.
Recomendamos usar la duración predeterminada de 24 horas para todas las claves, a menos que tiene requisitos normativos o de aplicación específicos que requieren un valor diferente.
Crea una clave asimétrica
Crear una clave de desencriptación asimétrica
Sigue estos pasos para crear una clave de desencriptación asimétrica en la clave especificada el anillo y la ubicación. Estos ejemplos se pueden adaptar para especificar un nivel de protección o un algoritmo diferente. Para obtener más información y valores alternativos, consulta Algoritmos y Niveles de protección.
Cuando creas la clave por primera vez, la versión inicial de la clave tiene un estado de Generación pendiente. Cuando el estado cambie a Habilitado, podrás usar la clave. Para obtener más información sobre los estados de la versión de clave, consulta Versión de la clave. estados.
Console
En la consola de Google Cloud, ve a la página Administración de claves.
Haz clic en el nombre del llavero de claves para el que crearás la clave.
Haz clic en Crear clave.
En Nombre de la clave, ingresa un nombre para tu clave.
En Nivel de protección, selecciona Software o HSM.
En Material de clave, selecciona Clave generada.
En Propósito, selecciona Desencriptación asimétrica.
En Algoritmo, selecciona 3072 bit RSA - OAEP Padding - SHA256 Digest. Puedes cambiar este valor en versiones de claves futuras.
Haz clic en Crear.
gcloud
Para usar Cloud KMS en la línea de comandos, primero Instala o actualiza a la versión más reciente de Google Cloud CLI.
gcloud kms keys create KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --purpose "asymmetric-encryption" \ --default-algorithm "ALGORITHM"
Reemplaza lo siguiente:
KEY_NAME
: el nombre de la clave.KEY_RING
: Es el nombre del llavero de claves que contiene la clave.LOCATION
: Es la ubicación de Cloud KMS del llavero de claves.ALGORITHM
: Es el algoritmo que se usará para la clave, por ejemplo,rsa-decrypt-oaep-3072-sha256
. Para obtener una lista de los atributos algoritmos de encriptación, consulta Encriptación asimétrica algoritmos.
Para obtener información sobre todas las marcas y los valores posibles, ejecuta el comando con la marca --help
.
C#
Para ejecutar este código, primero configura un entorno de desarrollo de C# e instala el SDK de C# para Cloud KMS.
Go
Para ejecutar este código, primero configura un entorno de desarrollo de Go y, luego, instala el SDK de Go para Cloud KMS.
Java
Para ejecutar este código, primero configura un entorno de desarrollo de Java y, luego, instala el SDK de Java para Cloud KMS.
Node.js
Para ejecutar este código, primero configura un entorno de desarrollo de Node.js y, luego, instala el SDK de Node.js para Cloud KMS.
PHP
Para ejecutar este código, primero obtén información sobre cómo usar PHP en Google Cloud y, luego, instala el SDK de PHP para Cloud KMS.
Python
Para ejecutar este código, primero configura un entorno de desarrollo de Python y, luego, instala el SDK de Python para Cloud KMS.
Ruby
Para ejecutar este código, primero configura un entorno de desarrollo de Ruby y, luego, instala el SDK de Ruby para Cloud KMS.
API
En estos ejemplos, se usa curl como un cliente HTTP para demostrar el uso de la API. Para obtener más información sobre el control de acceso, consulta Accede a la API de Cloud KMS.
Crea una clave de desencriptación asimétrica llamando
CryptoKey.create
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys?crypto_key_id=KEY_NAME" \ --request "POST" \ --header "authorization: Bearer TOKEN" \ --header "content-type: application/json" \ --data '{"purpose": "ASYMMETRIC_DECRYPT", "versionTemplate": {"algorithm": "ALGORITHM"}}'
Reemplaza lo siguiente:
PROJECT_ID
: Es el ID del proyecto que contiene el llavero de claves.LOCATION
: Es la ubicación de Cloud KMS del llavero de claves.KEY_RING
: Es el nombre del llavero de claves que contiene la clave.KEY_NAME
: el nombre de la clave.ALGORITHM
: Es el algoritmo que se usará para. la clave, por ejemplo,RSA_DECRYPT_OAEP_3072_SHA256
. Para obtener una lista de algoritmos de criptografía asimétrica, consulta Criptografía asimétrica algoritmos.
Crear una clave de firma asimétrica
Sigue estos pasos para crear una clave de firma asimétrica en el llavero de claves especificado. y la ubicación. Estos ejemplos pueden adaptarse para especificar un nivel de protección o algoritmo. Para obtener más información y valores alternativos, consulta Algoritmos y Niveles de protección.
Cuando creas la clave por primera vez, la versión inicial de la clave tiene un estado de Pendiente de generarse. Cuando el estado cambie a Habilitado, podrás usar la clave. Para obtener más información sobre los estados de la versión de clave, consulta Versión de la clave. estados.
Console
En la consola de Google Cloud, ve a la página Administración de claves.
Haz clic en el nombre del llavero de claves para el que crearás la clave.
Haz clic en Crear clave.
En Nombre de la clave, ingresa un nombre para tu clave.
En Nivel de protección, selecciona Software o HSM.
En Material de clave, selecciona Clave generada.
En Propósito, selecciona Signo asimétrico.
En Algoritmo, selecciona Elliptic Curve P-256 - SHA256 Digest. Puedes cambiar este valor en versiones de clave futuras.
Haz clic en Crear.
gcloud
Para usar Cloud KMS en la línea de comandos, primero Instala o actualiza a la versión más reciente de Google Cloud CLI.
gcloud kms keys create KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --purpose "asymmetric-signing" \ --default-algorithm "ALGORITHM"
Reemplaza lo siguiente:
KEY_NAME
: el nombre de la clave.KEY_RING
: Es el nombre del llavero de claves que contiene la clave.LOCATION
: Es la ubicación de Cloud KMS del llavero de claves.ALGORITHM
: Es el algoritmo que se usará para la clave, por ejemplo,ec-sign-p256-sha256
. Para obtener una lista de los algoritmos compatibles, consulta Asimétrico, de firma.
Para obtener información sobre todas las marcas y los valores posibles, ejecuta el comando con la marca --help
.
C#
Para ejecutar este código, primero configura un entorno de desarrollo de C# e instala el SDK de C# para Cloud KMS.
Go
Para ejecutar este código, primero configura un entorno de desarrollo de Go y, luego, instala el SDK de Go para Cloud KMS.
Java
Para ejecutar este código, primero configura un entorno de desarrollo de Java y, luego, instala el SDK de Java para Cloud KMS.
Node.js
Para ejecutar este código, primero configura un entorno de desarrollo de Node.js y, luego, instala el SDK de Node.js para Cloud KMS.
PHP
Para ejecutar este código, primero obtén información sobre cómo usar PHP en Google Cloud y, luego, instala el SDK de PHP para Cloud KMS.
Python
Para ejecutar este código, primero configura un entorno de desarrollo de Python y, luego, instala el SDK de Python para Cloud KMS.
Ruby
Para ejecutar este código, primero configura un entorno de desarrollo de Ruby y, luego, instala el SDK de Ruby para Cloud KMS.
API
En estos ejemplos, se usa curl como un cliente HTTP para demostrar el uso de la API. Para obtener más información sobre el control de acceso, consulta Accede a la API de Cloud KMS.
Crea una clave de firma asimétrica llamando
CryptoKey.create
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys?crypto_key_id=KEY_NAME" \ --request "POST" \ --header "authorization: Bearer TOKEN" \ --header "content-type: application/json" \ --data '{"purpose": "ASYMMETRIC_SIGN", "versionTemplate": {"algorithm": "ALGORITHM"}}'
Reemplaza lo siguiente:
PROJECT_ID
: Es el ID del proyecto que contiene el llavero de claves.LOCATION
: Es la ubicación de Cloud KMS del llavero de claves.KEY_RING
: Es el nombre del llavero de claves que contiene la clave.KEY_NAME
: el nombre de la clave.ALGORITHM
: Es el algoritmo que se usará para. la clave, por ejemplo,EC_SIGN_P256_SHA256
. Para obtener una lista de los servicios algoritmos, consulta Firma asimétrica algoritmos.
Recupera la clave pública
Cuando creas una clave asimétrica, Cloud KMS crea una red pública/privada par de claves. Puedes recuperar la clave pública de una clave asimétrica habilitada en cualquier una vez que se genera la clave.
La clave pública se encuentra en el formato de correo electrónico con privacidad mejorada (PEM). Para ver más consulta la sección General Consideraciones y Codificación textual del sujeto público Información clave.
Para descargar la clave pública de una versión de clave asimétrica existente, sigue estos pasos:
Console
En la consola de Google Cloud, ve a la página Administración de claves.
Haz clic en el nombre del llavero de claves que contiene la clave asimétrica para la que quieres recuperar la clave pública.
Haz clic en el nombre de la clave de la que quieres recuperar la clave pública.
En la fila que corresponde a la versión de clave para la que quieres recuperar la clave pública, haz clic en Ver más
.Haz clic en Obtener clave pública.
La clave pública se muestra en el mensaje. Puedes copiar la clave pública en el portapapeles. Para descargar la clave pública, haz clic en Descargar.
Si no ves la opción Obtener clave pública, verifica lo siguiente:
- La clave es una clave asimétrica.
- La versión de clave está habilitada.
- Tienes el permiso
cloudkms.cryptoKeyVersions.viewPublicKey
.
El nombre de archivo de una clave pública descargada de la consola de Google Cloud es el formulario:
KEY_RING-KEY_NAME-KEY_VERSION.pub
Cada parte del nombre del archivo está separada por un guion, por ejemplo, ringname-keyname-version.pub
.
gcloud
Para usar Cloud KMS en la línea de comandos, primero instala o actualiza a la versión más reciente de Google Cloud CLI.
gcloud kms keys versions get-public-key KEY_VERSION \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --output-file OUTPUT_FILE_PATH
Reemplaza lo siguiente:
KEY_VERSION
: Es el número de versión de la clave.KEY_NAME
: el nombre de la clave.KEY_RING
: Es el nombre del llavero de claves que contiene la clave.LOCATION
: Es la ubicación de Cloud KMS del llavero de claves.OUTPUT_FILE_PATH
: Es la ruta de acceso en la que deseas guardar el archivo de clave pública, por ejemplo,public-key.pub
.
Para obtener información sobre todas las marcas y los valores posibles, ejecuta el comando con la marca --help
.
C#
Para ejecutar este código, primero configura un entorno de desarrollo de C# e instala el SDK de C# para Cloud KMS.
Go
Para ejecutar este código, primero configura un entorno de desarrollo de Go y, luego, instala el SDK de Go para Cloud KMS.
Java
Para ejecutar este código, primero configura un entorno de desarrollo de Java y, luego, instala el SDK de Java para Cloud KMS.
Node.js
Para ejecutar este código, primero configura un entorno de desarrollo de Node.js y, luego, instala el SDK de Node.js para Cloud KMS.
PHP
Para ejecutar este código, primero obtén información sobre cómo usar PHP en Google Cloud y, luego, instala el SDK de PHP para Cloud KMS.
Python
Para ejecutar este código, primero configura un entorno de desarrollo de Python y, luego, instala el SDK de Python para Cloud KMS.
Ruby
Para ejecutar este código, primero configura un entorno de desarrollo de Ruby y, luego, instala el SDK de Ruby para Cloud KMS.
API
En estos ejemplos, se usa curl como un cliente HTTP para demostrar el uso de la API. Para obtener más información sobre el control de acceso, consulta Accede a la API de Cloud KMS.
Recupera la clave pública mediante una llamada al método CryptoKeyVersions.getPublicKey.
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/KEY_VERSION/publicKey" \ --request "GET" \ --header "authorization: Bearer TOKEN"
Reemplaza lo siguiente:
PROJECT_ID
: Es el ID del proyecto que contiene el llavero de claves.LOCATION
: Es la ubicación de Cloud KMS del llavero de claves.KEY_RING
: Es el nombre del llavero de claves que contiene la clave.KEY_NAME
: el nombre de la clave.KEY_VERSION
: Es el número de versión de la clave.
El resultado debería ser similar al siguiente:
{ "pem": "-----BEGIN PUBLIC KEY-----\nQ29uZ3JhdHVsYXRpb25zLCB5b3UndmUgZGlzY292ZX JlZCB0aGF0IHRoaXMgaXNuJ3QgYWN0dWFsbHkgYSBwdWJsaWMga2V5ISBIYXZlIGEgbmlj ZSBkYXkgOik=\n-----END PUBLIC KEY-----\n", "algorithm": "ALGORITHM", "pemCrc32c": "2561089887", "name": "projects/PROJECT_ID/locations/LOCATION/keyRings/ KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/ KEY_VERSION", "protectionLevel": "SOFTWARE" }
Convierte una clave pública al formato JWK
Cloud KMS te permite recuperar una clave pública en formato PEM. Es posible que algunas aplicaciones requieran otros formatos de clave, como la clave web JSON (JWK). Para obtener más información sobre el formato JWK, consulta RFC 7517.
Para convertir una clave pública al formato JWK, sigue estos pasos:
Go
Para ejecutar este código, primero configura un entorno de desarrollo de Go y, luego, instala el SDK de Go para Cloud KMS.
Java
Para ejecutar este código, primero configura un entorno de desarrollo de Java y, luego, instala el SDK de Java para Cloud KMS.
Python
Para ejecutar este código, primero configura un entorno de desarrollo de Python y, luego, instala el SDK de Python para Cloud KMS.
Controla el acceso a claves asimétricas
Un firmante o validador requiere el permiso o función adecuados para la clave asimétrica.
Para un usuario o servicio que realizará la firma, otorga la
cloudkms.cryptoKeyVersions.useToSign
en la clave asimétrica.Para un usuario o servicio que recuperará la clave pública, otorga el permiso
cloudkms.cryptoKeyVersions.viewPublicKey
sobre la clave asimétrica. Para la validación de la firma se necesita la clave pública.
Obtén más información sobre los permisos y las funciones de las versiones de Cloud KMS en Permisos y roles.
Cómo crear una clave de firma de MAC
Console
En la consola de Google Cloud, ve a la página Administración de claves.
Haz clic en el nombre del llavero de claves para el que crearás la clave.
Haz clic en Crear clave.
En Nombre de la clave, ingresa un nombre para tu clave.
En Nivel de protección, selecciona Software o HSM.
En Material de clave, selecciona Clave generada.
En Propósito, selecciona Firma/verificación de MAC.
Opcional: En Algoritmo, selecciona una firma HMAC de codificador.
Haz clic en Crear.
gcloud
Para usar Cloud KMS en la línea de comandos, primero Instala o actualiza a la versión más reciente de Google Cloud CLI.
gcloud kms keys create KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --purpose "mac" \ --default-algorithm "ALGORITHM" \ --protection-level "PROTECTION_LEVEL"
Reemplaza lo siguiente:
KEY_NAME
: el nombre de la clave.KEY_RING
: Es el nombre del llavero de claves que contiene la clave.LOCATION
: Es la ubicación de Cloud KMS del llavero de claves.ALGORITHM
: El algoritmo de firma HMAC, por ejemplo,hmac-sha256
. Para ver todos los algoritmos HMAC admitidos, consulta Firma HMAC algoritmos.PROTECTION_LEVEL
: Es el nivel de protección de la clave para Por ejemplo,hsm
. Puedes omitir la marca--protection-level
para las clavessoftware
.
Para obtener información sobre todas las marcas y los valores posibles, ejecuta el comando con la marca --help
.
C#
Para ejecutar este código, primero configura un entorno de desarrollo de C# e instala el SDK de C# para Cloud KMS.
Go
Para ejecutar este código, primero configura un entorno de desarrollo de Go y, luego, instala el SDK de Go para Cloud KMS.
Java
Para ejecutar este código, primero configura un entorno de desarrollo de Java y, luego, instala el SDK de Java para Cloud KMS.
Node.js
Para ejecutar este código, primero configura un entorno de desarrollo de Node.js y, luego, instala el SDK de Node.js para Cloud KMS.
PHP
Para ejecutar este código, primero obtén información sobre cómo usar PHP en Google Cloud y, luego, instala el SDK de PHP para Cloud KMS.
Python
Para ejecutar este código, primero configura un entorno de desarrollo de Python y, luego, instala el SDK de Python para Cloud KMS.
Ruby
Para ejecutar este código, primero configura un entorno de desarrollo de Ruby y, luego, instala el SDK de Ruby para Cloud KMS.
API
En estos ejemplos, se usa curl como un cliente HTTP para demostrar el uso de la API. Para obtener más información sobre el control de acceso, consulta Accede a la API de Cloud KMS.
Para crear una clave, usa el
CryptoKey.create
método:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys?crypto_key_id=KEY_NAME" \ --request "POST" \ --header "authorization: Bearer TOKEN" \ --header "content-type: application/json" \ --data '{"purpose": "MAC", "versionTemplate": { "protectionLevel": "PROTECTION_LEVEL", "algorithm": "ALGORITHM" }}'
Reemplaza lo siguiente:
PROJECT_ID
: Es el ID del proyecto que contiene el llavero de claves.LOCATION
: Es la ubicación de Cloud KMS del llavero de claves.KEY_RING
: Es el nombre del llavero de claves que contiene la clave.KEY_NAME
: el nombre de la clave.PROTECTION_LEVEL
: Es el nivel de protección de la clave, por ejemplo.SOFTWARE
oHSM
.ALGORITHM
: Es el algoritmo de firma HMAC, por ejemploHMAC_SHA256
. Para ver todos los algoritmos HMAC compatibles, consulta Algoritmos de firma de HMAC.
¿Qué sigue?
- Obtén información sobre la rotación de claves.
- Más información para crear y validar firmas.
- Obtén más información sobre la encriptación y desencriptación de datos con una clave de RSA.
- Más información sobre la recuperación de una clave pública.