Auf dieser Seite wird beschrieben, wie Sie einen Schlüssel in Cloud KMS erstellen. Ein Schlüssel kann ein symmetrischer oder asymmetrischer Verschlüsselungsschlüssel, ein asymmetrischer Signaturschlüssel oder ein MAC-Signaturschlüssel sein.
Wenn Sie einen Schlüssel erstellen, fügen Sie ihn einem Schlüsselbund an einem bestimmten Cloud KMS-Standort hinzu. Sie können einen neuen Schlüsselbund erstellen oder einen vorhandenen verwenden. Auf dieser Seite generieren Sie einen neuen Cloud KMS- oder Cloud HSM-Schlüssel und fügen ihn einem vorhandenen Schlüsselbund hinzu. Informationen zum Erstellen eines Cloud EKM-Schlüssels finden Sie unter Externen Schlüssel erstellen. Informationen zum Importieren eines Cloud KMS- oder Cloud HSM-Schlüssels finden Sie unter Schlüssel importieren.
Hinweise
Bevor Sie die Aufgaben auf dieser Seite ausführen, benötigen Sie Folgendes:
- Eine Google Cloud-Projektressource für Ihre Cloud KMS-Ressourcen. Wir empfehlen, für Ihre Cloud KMS-Ressourcen ein separates Projekt zu verwenden, das keine anderen Google Cloud-Ressourcen enthält.
- Der Name und der Speicherort des Schlüsselbunds, an dem Sie Ihren Schlüssel erstellen möchten. Wählen Sie einen Schlüsselbund an einem Speicherort aus, der sich in der Nähe Ihrer anderen Ressourcen befindet und das gewünschte Schutzniveau unterstützt. Informationen zu den verfügbaren Standorten und den von ihnen unterstützten Schutzniveaus finden Sie unter Cloud KMS-Standorte. Informationen zum Erstellen eines Schlüsselbunds finden Sie unter Schlüsselbund erstellen.
- Optional: Bereiten Sie Ihre Umgebung vor, um die gcloud CLI zu verwenden.
gcloud-CLI
Aktivieren Sie Cloud Shell in der Google Cloud Console.
Erforderliche Rollen
Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Cloud KMS Admin (roles/cloudkms.admin
) für das Projekt oder eine übergeordnete Ressource zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Erstellen von Schlüsseln benötigen.
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.
Diese vordefinierte Rolle enthält die Berechtigungen, die zum Erstellen von Schlüsseln erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:
Erforderliche Berechtigungen
Die folgenden Berechtigungen sind zum Erstellen von Schlüsseln erforderlich:
-
cloudkms.cryptoKeys.create
-
cloudkms.cryptoKeys.get
-
cloudkms.cryptoKeys.list
-
cloudkms.cryptoKeyVersions.create
-
cloudkms.cryptoKeyVersions.get
-
cloudkms.cryptoKeyVersions.list
-
cloudkms.keyRings.get
-
cloudkms.keyRings.list
-
cloudkms.locations.get
-
cloudkms.locations.list
-
resourcemanager.projects.get
-
So rufen Sie einen öffentlichen Schlüssel ab:
cloudkms.cryptoKeyVersions.viewPublicKey
Möglicherweise können Sie diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.
Symmetrischen Verschlüsselungsschlüssel erstellen
Console
Rufen Sie in der Google Cloud Console die Seite Key Management auf.
Klicken Sie auf den Namen des Schlüsselbunds, für den Sie einen Schlüssel erstellen.
Klicken Sie auf Schlüssel erstellen.
Geben Sie unter Schlüsselname einen Namen für den Schlüssel ein.
Wählen Sie als Schutzniveau Software oder HSM aus.
Wählen Sie unter Schlüsselmaterial die Option Generierter Schlüssel aus.
Wählen Sie unter Purpose (Zweck) die Option Symmetric encrypt/decrypt aus.
Übernehmen Sie die Standardwerte für Rotationszeitraum und Beginnt am.
Klicken Sie auf Erstellen.
gcloud
Wenn Sie Cloud KMS in der Befehlszeile verwenden möchten, müssen Sie zuerst ein Upgrade auf die neueste Version der Google Cloud CLI durchführen oder ein Upgrade auf die neueste Version der Google Cloud CLI ausführen.
gcloud kms keys create KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --purpose "encryption" \ --protection-level "PROTECTION_LEVEL"
Ersetzen Sie Folgendes:
KEY_NAME
: Der Name des Schlüssels.KEY_RING
: der Name des Schlüsselbunds, der den Schlüssel enthält.LOCATION
: der Cloud KMS-Standort des Schlüsselbunds.PROTECTION_LEVEL
: Das Schutzniveau, das für den Schlüssel verwendet werden soll, z. B.software
oderhsm
. Sie können das Flag--protection-level
fürsoftware
-Schlüssel weglassen.
Wenn Sie Informationen zu allen Flags und möglichen Werten erhalten möchten, führen Sie den Befehl mit dem Flag --help
aus.
C#
Um diesen Code auszuführen, müssen Sie zuerst eine C#-Entwicklungsumgebung einrichten und das Cloud KMS C# SDK installieren.
Go
Um diesen Code auszuführen, müssen Sie zuerst eine Go-Entwicklungsumgebung einrichten und das Cloud KMS Go SDK installieren.
Java
Um diesen Code auszuführen, müssen Sie zuerst eine Java-Entwicklungsumgebung einrichten und das Cloud KMS Java SDK installieren.
Node.js
Um diesen Code auszuführen, richten Sie zuerst eine Node.js-Entwicklungsumgebung ein und installieren Sie das Cloud KMS Node.js SDK.
PHP
Um diesen Code auszuführen, müssen Sie zuerst PHP in Google Cloud verwenden lernen und das Cloud KMS PHP SDK installieren.
Python
Um diesen Code auszuführen, müssen Sie zuerst eine Python-Entwicklungsumgebung einrichten und das Cloud KMS Python SDK installieren.
Ruby
Um diesen Code auszuführen, müssen Sie zuerst eine Ruby-Entwicklungsumgebung einrichten und das Cloud KMS Ruby SDK installieren.
API
In diesen Beispielen wird curl als HTTP-Client verwendet, um die Verwendung der API zu demonstrieren. Weitere Informationen zur Zugriffssteuerung finden Sie unter Auf die Cloud KMS API zugreifen.
Verwenden Sie zum Erstellen eines Schlüssels die Methode CryptoKey.create
:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys?crypto_key_id=KEY_NAME" \ --request "POST" \ --header "authorization: Bearer TOKEN" \ --header "content-type: application/json" \ --data '{"purpose": "ENCRYPT_DECRYPT", "versionTemplate": { "protectionLevel": "PROTECTION_LEVEL", "algorithm": "ALGORITHM" }}'
Ersetzen Sie Folgendes:
PROJECT_ID
: die ID des Projekts, das den Schlüsselbund enthält.LOCATION
: der Cloud KMS-Standort des Schlüsselbunds.KEY_RING
: der Name des Schlüsselbunds, der den Schlüssel enthält.KEY_NAME
: Der Name des Schlüssels.PROTECTION_LEVEL
: das Schutzniveau des Schlüssels, z. B.SOFTWARE
oderHSM
.ALGORITHM
: der HMAC-Signaturalgorithmus, z. B.HMAC_SHA256
. Informationen zu allen unterstützten HMAC-Algorithmen finden Sie unter HMAC-Signaturalgorithmen.
Symmetrische Verschlüsselungsschlüssel mit benutzerdefinierter automatischer Rotation erstellen
Wenn Sie einen Schlüssel erstellen, können Sie seinen Rotationszeitraum angeben, d. h. die Zeit zwischen der automatischen Erstellung neuer Schlüsselversionen. Sie können auch unabhängig die nächste Rotationszeit angeben, sodass die nächste Rotation vor oder nach einem Rotationszeitraum erfolgt.
Console
Wenn Sie die Google Cloud Console zum Erstellen eines Schlüssels verwenden, legt Cloud KMS den Rotationszeitraum und die nächste Rotationszeit automatisch fest. Sie können die Standardwerte verwenden oder andere Werte angeben.
So geben Sie einen anderen Rotationszeitraum und eine andere Startzeit an, wenn Sie Ihren Schlüssel erstellen, bevor Sie auf die Schaltfläche Erstellen klicken:
Wählen Sie für Schlüsselrotationszeitraum eine Option aus.
Wählen Sie unter Ab dem das Datum aus, an dem die erste automatische Rotation erfolgen soll. Sie können den Standardwert für Ab am beibehalten, damit die erste automatische Rotation einen Schlüsselrotationszeitraum nach dem Erstellen des Schlüssels beginnt.
gcloud
Wenn Sie Cloud KMS in der Befehlszeile verwenden möchten, müssen Sie zuerst ein Upgrade auf die neueste Version der Google Cloud CLI durchführen oder ein Upgrade auf die neueste Version der Google Cloud CLI ausführen.
gcloud kms keys create KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --purpose "encryption" \ --rotation-period ROTATION_PERIOD \ --next-rotation-time NEXT_ROTATION_TIME
Ersetzen Sie Folgendes:
KEY_NAME
: Der Name des Schlüssels.KEY_RING
: der Name des Schlüsselbunds, der den Schlüssel enthält.LOCATION
: der Cloud KMS-Standort des Schlüsselbunds.ROTATION_PERIOD
: das Intervall, in dem der Schlüssel rotiert wird, z. B.30d
, um den Schlüssel alle 30 Tage zu rotieren Der Rotationszeitraum muss mindestens 1 Tag und höchstens 100 Jahre lang sein. Weitere Informationen finden Sie unter CryptoKey.rotationPeriod.NEXT_ROTATION_TIME
: Der Zeitstempel, zu dem die erste Rotation abgeschlossen werden soll, z. B."2023-01-01T01:02:03"
. Sie können--next-rotation-time
weglassen, um die erste Rotation 7 Tage nach Ausführung des Befehls zu planen. Weitere Informationen finden Sie unter CryptoKey.nextRotationTime.
Wenn Sie Informationen zu allen Flags und möglichen Werten erhalten möchten, führen Sie den Befehl mit dem Flag --help
aus.
C#
Um diesen Code auszuführen, müssen Sie zuerst eine C#-Entwicklungsumgebung einrichten und das Cloud KMS C# SDK installieren.
Go
Um diesen Code auszuführen, müssen Sie zuerst eine Go-Entwicklungsumgebung einrichten und das Cloud KMS Go SDK installieren.
Java
Um diesen Code auszuführen, müssen Sie zuerst eine Java-Entwicklungsumgebung einrichten und das Cloud KMS Java SDK installieren.
Node.js
Um diesen Code auszuführen, richten Sie zuerst eine Node.js-Entwicklungsumgebung ein und installieren Sie das Cloud KMS Node.js SDK.
PHP
Um diesen Code auszuführen, müssen Sie zuerst PHP in Google Cloud verwenden lernen und das Cloud KMS PHP SDK installieren.
Python
Um diesen Code auszuführen, müssen Sie zuerst eine Python-Entwicklungsumgebung einrichten und das Cloud KMS Python SDK installieren.
Ruby
Um diesen Code auszuführen, müssen Sie zuerst eine Ruby-Entwicklungsumgebung einrichten und das Cloud KMS Ruby SDK installieren.
API
In diesen Beispielen wird curl als HTTP-Client verwendet, um die Verwendung der API zu demonstrieren. Weitere Informationen zur Zugriffssteuerung finden Sie unter Auf die Cloud KMS API zugreifen.
Verwenden Sie zum Erstellen eines Schlüssels die Methode CryptoKey.create
:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys?crypto_key_id=KEY_NAME" \ --request "POST" \ --header "authorization: Bearer TOKEN" \ --header "content-type: application/json" \ --data '{"purpose": "PURPOSE", "rotationPeriod": "ROTATION_PERIOD", "nextRotationTime": "NEXT_ROTATION_TIME"}'
Ersetzen Sie Folgendes:
PURPOSE
: der Zweck des SchlüsselsROTATION_PERIOD
: das Intervall, in dem der Schlüssel rotiert wird, z. B.30d
, um den Schlüssel alle 30 Tage zu rotieren Der Rotationszeitraum muss mindestens 1 Tag und höchstens 100 Jahre lang sein. Weitere Informationen finden Sie unter CryptoKey.rotationPeriod.NEXT_ROTATION_TIME
: Der Zeitstempel, zu dem die erste Rotation abgeschlossen werden soll, z. B."2023-01-01T01:02:03"
. Sie können--next-rotation-time
weglassen, um die erste Rotation 7 Tage nach Ausführung des Befehls zu planen. Weitere Informationen finden Sie unter CryptoKey.nextRotationTime.
Dauer des Status „Zum Löschen vorgemerkt“ festlegen
Standardmäßig verbleiben Schlüsselversionen in Cloud KMS 30 Tage im Status zum Löschen vorgemerkt (DESTROY_SCHEDULED
), bevor sie gelöscht werden. Der zum Löschen vorgemerkte Status wird manchmal als vorläufig gelöschter Status bezeichnet. Die Dauer, für die Schlüsselversionen in diesem Status bleiben, ist unter Berücksichtigung der folgenden Einschränkungen konfigurierbar:
- Sie können die Dauer nur bei der Schlüsselerstellung festlegen.
- Nachdem die Dauer für den Schlüssel festgelegt wurde, kann sie nicht mehr geändert werden.
- Die Dauer gilt für alle Versionen des Schlüssels, die in Zukunft erstellt werden.
- Die Mindestdauer für alle Schlüssel beträgt 24 Stunden, mit Ausnahme von reinen Importschlüsseln mit einer Mindestdauer von 0.
- Die maximale Dauer beträgt 120 Tage.
- Die Standarddauer beträgt 30 Tage.
Ihre Organisation hat möglicherweise einen durch Organisationsrichtlinien festgelegten Mindestwert für die Löschdauer. Weitere Informationen finden Sie unter Löschen von Schlüsseln steuern.
So erstellen Sie einen Schlüssel, der eine benutzerdefinierte Dauer für den Status Löschen geplant verwendet:
Console
Rufen Sie in der Google Cloud Console die Seite Key Management auf.
Klicken Sie auf den Namen des Schlüsselbunds, für den Sie einen Schlüssel erstellen.
Klicken Sie auf Schlüssel erstellen.
Konfigurieren Sie die Einstellungen des Schlüssels für Ihre Anwendung.
Klicken Sie auf Weitere Einstellungen.
Wählen Sie unter Dauer des Status „Zum Löschen vorgemerkt“ die Anzahl der Tage aus, in denen der Schlüssel zum Löschen vorgemerkt bleibt, bevor er endgültig gelöscht wird.
Klicken Sie auf Schlüssel erstellen.
gcloud
Wenn Sie Cloud KMS in der Befehlszeile verwenden möchten, müssen Sie zuerst ein Upgrade auf die neueste Version der Google Cloud CLI durchführen oder ein Upgrade auf die neueste Version der Google Cloud CLI ausführen.
gcloud kms keys create KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --purpose PURPOSE \ --destroy-scheduled-duration DURATION
Ersetzen Sie Folgendes:
KEY_NAME
: Der Name des Schlüssels.KEY_RING
: der Name des Schlüsselbunds, der den Schlüssel enthält.LOCATION
: der Cloud KMS-Standort des Schlüsselbunds.PURPOSE
: der Zweck des Schlüssels, z. B.encryption
.DURATION
: Die Zeit, für die der Schlüssel im Status Zum Löschen vorgemerkt bleibt, bevor er endgültig gelöscht wird.
Wenn Sie Informationen zu allen Flags und möglichen Werten erhalten möchten, führen Sie den Befehl mit dem Flag --help
aus.
Wir empfehlen, für alle Schlüssel die Standarddauer von 24 Stunden zu verwenden, sofern Sie keine besonderen Anwendungs- oder regulatorischen Anforderungen haben, die einen anderen Wert erfordern.
Asymmetrischen Schlüssel erstellen
Asymmetrischen Entschlüsselungsschlüssel erstellen
So erstellen Sie einen asymmetrischen Entschlüsselungsschlüssel für den angegebenen Schlüsselbund und Speicherort. Diese Beispiele können angepasst werden, um ein anderes Schutzniveau oder einen anderen Algorithmus anzugeben. Weitere Informationen und alternative Werte finden Sie unter Algorithmen und Schutzniveaus.
Wenn Sie den Schlüssel zum ersten Mal erstellen, hat die anfängliche Schlüsselversion den Status Generierung ausstehend. Wenn sich der Status in Enabled (Aktiviert) ändert, können Sie den Schlüssel verwenden. Weitere Informationen zu Schlüsselversionsstatus finden Sie unter Schlüsselversionsstatus.
Console
Rufen Sie in der Google Cloud Console die Seite Key Management auf.
Klicken Sie auf den Namen des Schlüsselbunds, für den Sie einen Schlüssel erstellen.
Klicken Sie auf Schlüssel erstellen.
Geben Sie unter Schlüsselname einen Namen für den Schlüssel ein.
Wählen Sie als Schutzniveau Software oder HSM aus.
Wählen Sie unter Schlüsselmaterial die Option Generierter Schlüssel aus.
Wählen Sie unter Zweck die Option Asymmetrische Entschlüsselung aus.
Wählen Sie unter Algorithmus die Option 3072-Bit-RSA – OAEP-Padding – SHA256-Digest aus. Sie können diesen Wert in zukünftigen Schlüsselversionen ändern.
Klicken Sie auf Erstellen.
gcloud
Wenn Sie Cloud KMS in der Befehlszeile verwenden möchten, müssen Sie zuerst ein Upgrade auf die neueste Version der Google Cloud CLI durchführen oder ein Upgrade auf die neueste Version der Google Cloud CLI ausführen.
gcloud kms keys create KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --purpose "asymmetric-encryption" \ --default-algorithm "ALGORITHM"
Ersetzen Sie Folgendes:
KEY_NAME
: Der Name des Schlüssels.KEY_RING
: der Name des Schlüsselbunds, der den Schlüssel enthält.LOCATION
: der Cloud KMS-Standort des Schlüsselbunds.ALGORITHM
: der Algorithmus, der für den Schlüssel verwendet werden soll, z. B.rsa-decrypt-oaep-3072-sha256
. Eine Liste der unterstützten Algorithmen für die asymmetrische Verschlüsselung finden Sie unter Asymmetrische Verschlüsselungsalgorithmen.
Wenn Sie Informationen zu allen Flags und möglichen Werten erhalten möchten, führen Sie den Befehl mit dem Flag --help
aus.
C#
Um diesen Code auszuführen, müssen Sie zuerst eine C#-Entwicklungsumgebung einrichten und das Cloud KMS C# SDK installieren.
Go
Um diesen Code auszuführen, müssen Sie zuerst eine Go-Entwicklungsumgebung einrichten und das Cloud KMS Go SDK installieren.
Java
Um diesen Code auszuführen, müssen Sie zuerst eine Java-Entwicklungsumgebung einrichten und das Cloud KMS Java SDK installieren.
Node.js
Um diesen Code auszuführen, richten Sie zuerst eine Node.js-Entwicklungsumgebung ein und installieren Sie das Cloud KMS Node.js SDK.
PHP
Um diesen Code auszuführen, müssen Sie zuerst PHP in Google Cloud verwenden lernen und das Cloud KMS PHP SDK installieren.
Python
Um diesen Code auszuführen, müssen Sie zuerst eine Python-Entwicklungsumgebung einrichten und das Cloud KMS Python SDK installieren.
Ruby
Um diesen Code auszuführen, müssen Sie zuerst eine Ruby-Entwicklungsumgebung einrichten und das Cloud KMS Ruby SDK installieren.
API
In diesen Beispielen wird curl als HTTP-Client verwendet, um die Verwendung der API zu demonstrieren. Weitere Informationen zur Zugriffssteuerung finden Sie unter Auf die Cloud KMS API zugreifen.
Erstellen Sie einen asymmetrischen Entschlüsselungsschlüssel, indem Sie CryptoKey.create
aufrufen.
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys?crypto_key_id=KEY_NAME" \ --request "POST" \ --header "authorization: Bearer TOKEN" \ --header "content-type: application/json" \ --data '{"purpose": "ASYMMETRIC_DECRYPT", "versionTemplate": {"algorithm": "ALGORITHM"}}'
Ersetzen Sie Folgendes:
PROJECT_ID
: die ID des Projekts, das den Schlüsselbund enthält.LOCATION
: der Cloud KMS-Standort des Schlüsselbunds.KEY_RING
: der Name des Schlüsselbunds, der den Schlüssel enthält.KEY_NAME
: Der Name des Schlüssels.ALGORITHM
: Der für den Schlüssel zu verwendende Algorithmus, z. B.RSA_DECRYPT_OAEP_3072_SHA256
. Eine Liste der unterstützten Algorithmen für die asymmetrische Verschlüsselung finden Sie unter Asymmetrische Verschlüsselungsalgorithmen.
Asymmetrischen Signaturschlüssel erstellen
Führen Sie die folgenden Schritte aus, um einen Schlüssel für den Schlüsselbund und den Speicherort zu erstellen. Diese Beispiele können angepasst werden, um ein anderes Schutzniveau oder einen anderen Algorithmus anzugeben. Weitere Informationen und alternative Werte finden Sie unter Algorithmen und Schutzniveaus.
Wenn Sie den Schlüssel zum ersten Mal erstellen, hat die anfängliche Schlüsselversion den Status Generierung ausstehend. Wenn sich der Status in Enabled (Aktiviert) ändert, können Sie den Schlüssel verwenden. Weitere Informationen zu Schlüsselversionsstatus finden Sie unter Schlüsselversionsstatus.
Console
Rufen Sie in der Google Cloud Console die Seite Key Management auf.
Klicken Sie auf den Namen des Schlüsselbunds, für den Sie einen Schlüssel erstellen.
Klicken Sie auf Schlüssel erstellen.
Geben Sie unter Schlüsselname einen Namen für den Schlüssel ein.
Wählen Sie als Schutzniveau Software oder HSM aus.
Wählen Sie unter Schlüsselmaterial die Option Generierter Schlüssel aus.
Wählen Sie unter Zweck die Option Asymmetrisches Signieren aus.
Wählen Sie als Algorithmus die Option Elliptische Kurve P-256 – SHA256-Digest aus. Sie können diesen Wert bei zukünftigen Schlüsselversionen ändern.
Klicken Sie auf Erstellen.
gcloud
Wenn Sie Cloud KMS in der Befehlszeile verwenden möchten, müssen Sie zuerst ein Upgrade auf die neueste Version der Google Cloud CLI durchführen oder ein Upgrade auf die neueste Version der Google Cloud CLI ausführen.
gcloud kms keys create KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --purpose "asymmetric-signing" \ --default-algorithm "ALGORITHM"
Ersetzen Sie Folgendes:
KEY_NAME
: Der Name des Schlüssels.KEY_RING
: der Name des Schlüsselbunds, der den Schlüssel enthält.LOCATION
: der Cloud KMS-Standort des Schlüsselbunds.ALGORITHM
: der Algorithmus, der für den Schlüssel verwendet werden soll, z. B.ec-sign-p256-sha256
. Eine Liste der unterstützten Algorithmen finden Sie unter Asymmetrische Signaturalgorithmen.
Wenn Sie Informationen zu allen Flags und möglichen Werten erhalten möchten, führen Sie den Befehl mit dem Flag --help
aus.
C#
Um diesen Code auszuführen, müssen Sie zuerst eine C#-Entwicklungsumgebung einrichten und das Cloud KMS C# SDK installieren.
Go
Um diesen Code auszuführen, müssen Sie zuerst eine Go-Entwicklungsumgebung einrichten und das Cloud KMS Go SDK installieren.
Java
Um diesen Code auszuführen, müssen Sie zuerst eine Java-Entwicklungsumgebung einrichten und das Cloud KMS Java SDK installieren.
Node.js
Um diesen Code auszuführen, richten Sie zuerst eine Node.js-Entwicklungsumgebung ein und installieren Sie das Cloud KMS Node.js SDK.
PHP
Um diesen Code auszuführen, müssen Sie zuerst PHP in Google Cloud verwenden lernen und das Cloud KMS PHP SDK installieren.
Python
Um diesen Code auszuführen, müssen Sie zuerst eine Python-Entwicklungsumgebung einrichten und das Cloud KMS Python SDK installieren.
Ruby
Um diesen Code auszuführen, müssen Sie zuerst eine Ruby-Entwicklungsumgebung einrichten und das Cloud KMS Ruby SDK installieren.
API
In diesen Beispielen wird curl als HTTP-Client verwendet, um die Verwendung der API zu demonstrieren. Weitere Informationen zur Zugriffssteuerung finden Sie unter Auf die Cloud KMS API zugreifen.
Erstellen Sie einen asymmetrischen Signaturschlüssel, indem Sie CryptoKey.create
aufrufen.
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys?crypto_key_id=KEY_NAME" \ --request "POST" \ --header "authorization: Bearer TOKEN" \ --header "content-type: application/json" \ --data '{"purpose": "ASYMMETRIC_SIGN", "versionTemplate": {"algorithm": "ALGORITHM"}}'
Ersetzen Sie Folgendes:
PROJECT_ID
: die ID des Projekts, das den Schlüsselbund enthält.LOCATION
: der Cloud KMS-Standort des Schlüsselbunds.KEY_RING
: der Name des Schlüsselbunds, der den Schlüssel enthält.KEY_NAME
: Der Name des Schlüssels.ALGORITHM
: Der für den Schlüssel zu verwendende Algorithmus, z. B.EC_SIGN_P256_SHA256
. Eine Liste der unterstützten Algorithmen finden Sie unter Asymmetrische Signaturalgorithmen.
Öffentlichen Schlüssel abrufen
Wenn Sie einen asymmetrischen Schlüssel erstellen, erstellt Cloud KMS ein öffentliches/privates Schlüsselpaar. Sie können den öffentlichen Schlüssel eines aktivierten asymmetrischen Schlüssels jederzeit abrufen, nachdem der Schlüssel generiert wurde.
Der öffentliche Schlüssel liegt im PEM-Format (Privacy-enhanced Electronic Mail) vor. Weitere Informationen finden Sie in den Abschnitten General Considerations (Allgemeine Hinweise) und Textual Encoding of Subject Public Key Info (Textcodierung der Informationen zum öffentlichen Schlüssel des Antragstellers) von RFC 7468.
So laden Sie den öffentlichen Schlüssel für eine vorhandene asymmetrische Schlüsselversion herunter:
Console
Rufen Sie in der Google Cloud Console die Seite Key Management auf.
Klicken Sie auf den Namen des Schlüsselbunds, der den asymmetrischen Schlüssel enthält, für den Sie den öffentlichen Schlüssel abrufen möchten.
Klicken Sie auf den Namen des Schlüssels, für den Sie den öffentlichen Schlüssel abrufen möchten.
Klicken Sie in der Zeile für die Schlüsselversion, für die Sie den öffentlichen Schlüssel abrufen möchten, auf Mehr anzeigen
.Klicken Sie auf Öffentlichen Schlüssel abrufen.
Der öffentliche Schlüssel wird in der Eingabeaufforderung angezeigt. Sie können den öffentlichen Schlüssel in die Zwischenablage kopieren. Klicken Sie auf Herunterladen, um den öffentlichen Schlüssel herunterzuladen.
Wenn die Option Öffentlichen Schlüssel abrufen nicht angezeigt wird, prüfen Sie Folgendes:
- Der Schlüssel ist ein asymmetrischer Schlüssel.
- Die Schlüsselversion ist aktiviert.
- Sie haben die Berechtigung
cloudkms.cryptoKeyVersions.viewPublicKey
.
Der Dateiname eines öffentlichen Schlüssels, der von der Google Cloud Console heruntergeladen wurde, hat folgendes Format:
KEY_RING-KEY_NAME-KEY_VERSION.pub
Jeder Teil des Dateinamens ist durch einen Bindestrich getrennt, z. B. ringname-keyname-version.pub
.
gcloud
Wenn Sie Cloud KMS in der Befehlszeile verwenden möchten, müssen Sie zuerst ein Upgrade auf die neueste Version der Google Cloud CLI durchführen oder ein Upgrade auf die neueste Version der Google Cloud CLI ausführen.
gcloud kms keys versions get-public-key KEY_VERSION \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --output-file OUTPUT_FILE_PATH
Ersetzen Sie Folgendes:
KEY_VERSION
: die Schlüsselversionsnummer.KEY_NAME
: Der Name des Schlüssels.KEY_RING
: der Name des Schlüsselbunds, der den Schlüssel enthält.LOCATION
: der Cloud KMS-Standort des Schlüsselbunds.OUTPUT_FILE_PATH
: der Pfad, unter dem Sie die Datei mit dem öffentlichen Schlüssel speichern möchten, z. B.public-key.pub
.
Wenn Sie Informationen zu allen Flags und möglichen Werten erhalten möchten, führen Sie den Befehl mit dem Flag --help
aus.
C#
Um diesen Code auszuführen, müssen Sie zuerst eine C#-Entwicklungsumgebung einrichten und das Cloud KMS C# SDK installieren.
Go
Um diesen Code auszuführen, müssen Sie zuerst eine Go-Entwicklungsumgebung einrichten und das Cloud KMS Go SDK installieren.
Java
Um diesen Code auszuführen, müssen Sie zuerst eine Java-Entwicklungsumgebung einrichten und das Cloud KMS Java SDK installieren.
Node.js
Um diesen Code auszuführen, richten Sie zuerst eine Node.js-Entwicklungsumgebung ein und installieren Sie das Cloud KMS Node.js SDK.
PHP
Um diesen Code auszuführen, müssen Sie zuerst PHP in Google Cloud verwenden lernen und das Cloud KMS PHP SDK installieren.
Python
Um diesen Code auszuführen, müssen Sie zuerst eine Python-Entwicklungsumgebung einrichten und das Cloud KMS Python SDK installieren.
Ruby
Um diesen Code auszuführen, müssen Sie zuerst eine Ruby-Entwicklungsumgebung einrichten und das Cloud KMS Ruby SDK installieren.
API
In diesen Beispielen wird curl als HTTP-Client verwendet, um die Verwendung der API zu demonstrieren. Weitere Informationen zur Zugriffssteuerung finden Sie unter Auf die Cloud KMS API zugreifen.
Sie können den öffentlichen Schlüssel mithilfe der Methode CryptoKeyVersions.getPublicKey abrufen.
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/KEY_VERSION/publicKey" \ --request "GET" \ --header "authorization: Bearer TOKEN"
Ersetzen Sie Folgendes:
PROJECT_ID
: die ID des Projekts, das den Schlüsselbund enthält.LOCATION
: der Cloud KMS-Standort des Schlüsselbunds.KEY_RING
: der Name des Schlüsselbunds, der den Schlüssel enthält.KEY_NAME
: Der Name des Schlüssels.KEY_VERSION
: die Schlüsselversionsnummer.
Die Ausgabe sollte in etwa so aussehen:
{ "pem": "-----BEGIN PUBLIC KEY-----\nQ29uZ3JhdHVsYXRpb25zLCB5b3UndmUgZGlzY292ZX JlZCB0aGF0IHRoaXMgaXNuJ3QgYWN0dWFsbHkgYSBwdWJsaWMga2V5ISBIYXZlIGEgbmlj ZSBkYXkgOik=\n-----END PUBLIC KEY-----\n", "algorithm": "ALGORITHM", "pemCrc32c": "2561089887", "name": "projects/PROJECT_ID/locations/LOCATION/keyRings/ KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/ KEY_VERSION", "protectionLevel": "SOFTWARE" }
Öffentlichen Schlüssel in JWK-Format konvertieren
Mit Cloud KMS können Sie einen öffentlichen Schlüssel im PEM-Format abrufen. Für einige Anwendungen sind möglicherweise andere Schlüsselformate wie JSON Web Key (JWK) erforderlich. Weitere Informationen zum JWK-Format finden Sie unter RFC 7517.
So konvertieren Sie einen öffentlichen Schlüssel in das JWK-Format:
Go
Um diesen Code auszuführen, müssen Sie zuerst eine Go-Entwicklungsumgebung einrichten und das Cloud KMS Go SDK installieren.
Java
Um diesen Code auszuführen, müssen Sie zuerst eine Java-Entwicklungsumgebung einrichten und das Cloud KMS Java SDK installieren.
Python
Um diesen Code auszuführen, müssen Sie zuerst eine Python-Entwicklungsumgebung einrichten und das Cloud KMS Python SDK installieren.
Steuern Sie den Zugriff auf asymmetrische Schlüssel
Zur Signierung oder Signaturprüfung ist für den asymmetrischen Schlüssel die entsprechende Berechtigung oder Rolle erforderlich.
Gewähren Sie einem Nutzer oder Dienst, der für den Signiervorgang zuständig ist, die Berechtigung
cloudkms.cryptoKeyVersions.useToSign
für den asymmetrischen Schlüssel.Gewähren Sie einem Nutzer oder Dienst, von dem der öffentliche Schlüssel abgerufen wird, die Berechtigung
cloudkms.cryptoKeyVersions.viewPublicKey
für den asymmetrischen Schlüssel. Der öffentliche Schlüssel wird zur Signaturprüfung benötigt.
Weitere Informationen zu Berechtigungen und Rollen im Cloud KMS-Release finden Sie unter Berechtigungen und Rollen.
MAC-Signaturschlüssel erstellen
Console
Rufen Sie in der Google Cloud Console die Seite Key Management auf.
Klicken Sie auf den Namen des Schlüsselbunds, für den Sie einen Schlüssel erstellen.
Klicken Sie auf Schlüssel erstellen.
Geben Sie unter Schlüsselname einen Namen für den Schlüssel ein.
Wählen Sie als Protection level (Schutzniveau) entweder Software oder HSM aus.
Wählen Sie unter Schlüsselmaterial die Option Generierter Schlüssel aus.
Wählen Sie unter Zweck die Option MAC-Signatur/-Bestätigung aus.
Optional: Wählen Sie unter Algorithmus einen HMAC-Signaturalgorithmus aus.
Klicken Sie auf Erstellen.
gcloud
Wenn Sie Cloud KMS in der Befehlszeile verwenden möchten, müssen Sie zuerst ein Upgrade auf die neueste Version der Google Cloud CLI durchführen oder ein Upgrade auf die neueste Version der Google Cloud CLI ausführen.
gcloud kms keys create KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --purpose "mac" \ --default-algorithm "ALGORITHM" \ --protection-level "PROTECTION_LEVEL"
Ersetzen Sie Folgendes:
KEY_NAME
: Der Name des Schlüssels.KEY_RING
: der Name des Schlüsselbunds, der den Schlüssel enthält.LOCATION
: der Cloud KMS-Standort des Schlüsselbunds.ALGORITHM
: der HMAC-Signaturalgorithmus, z. B.hmac-sha256
. Informationen zu allen unterstützten HMAC-Algorithmen finden Sie unter HMAC-Signaturalgorithmen.PROTECTION_LEVEL
: das Schutzniveau des Schlüssels, z. B.hsm
. Sie können das Flag--protection-level
fürsoftware
-Schlüssel weglassen.
Wenn Sie Informationen zu allen Flags und möglichen Werten erhalten möchten, führen Sie den Befehl mit dem Flag --help
aus.
C#
Um diesen Code auszuführen, müssen Sie zuerst eine C#-Entwicklungsumgebung einrichten und das Cloud KMS C# SDK installieren.
Go
Um diesen Code auszuführen, müssen Sie zuerst eine Go-Entwicklungsumgebung einrichten und das Cloud KMS Go SDK installieren.
Java
Um diesen Code auszuführen, müssen Sie zuerst eine Java-Entwicklungsumgebung einrichten und das Cloud KMS Java SDK installieren.
Node.js
Um diesen Code auszuführen, richten Sie zuerst eine Node.js-Entwicklungsumgebung ein und installieren Sie das Cloud KMS Node.js SDK.
PHP
Um diesen Code auszuführen, müssen Sie zuerst PHP in Google Cloud verwenden lernen und das Cloud KMS PHP SDK installieren.
Python
Um diesen Code auszuführen, müssen Sie zuerst eine Python-Entwicklungsumgebung einrichten und das Cloud KMS Python SDK installieren.
Ruby
Um diesen Code auszuführen, müssen Sie zuerst eine Ruby-Entwicklungsumgebung einrichten und das Cloud KMS Ruby SDK installieren.
API
In diesen Beispielen wird curl als HTTP-Client verwendet, um die Verwendung der API zu demonstrieren. Weitere Informationen zur Zugriffssteuerung finden Sie unter Auf die Cloud KMS API zugreifen.
Verwenden Sie zum Erstellen eines Schlüssels die Methode CryptoKey.create
:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys?crypto_key_id=KEY_NAME" \ --request "POST" \ --header "authorization: Bearer TOKEN" \ --header "content-type: application/json" \ --data '{"purpose": "MAC", "versionTemplate": { "protectionLevel": "PROTECTION_LEVEL", "algorithm": "ALGORITHM" }}'
Ersetzen Sie Folgendes:
PROJECT_ID
: die ID des Projekts, das den Schlüsselbund enthält.LOCATION
: der Cloud KMS-Standort des Schlüsselbunds.KEY_RING
: der Name des Schlüsselbunds, der den Schlüssel enthält.KEY_NAME
: Der Name des Schlüssels.PROTECTION_LEVEL
: das Schutzniveau des Schlüssels, z. B.SOFTWARE
oderHSM
.ALGORITHM
: der HMAC-Signaturalgorithmus, z. B.HMAC_SHA256
. Informationen zu allen unterstützten HMAC-Algorithmen finden Sie unter HMAC-Signaturalgorithmen.
Nächste Schritte
- Weitere Informationen zur Schlüsselrotation
- Signaturen erstellen und validieren
- Daten mit einem RSA-Schlüssel verschlüsseln und entschlüsseln
- Öffentlichen Schlüssel abrufen