Auf dieser Seite wird beschrieben, wie Sie einen Schlüssel in Cloud KMS erstellen. Ein Schlüssel kann ein symmetrischer oder asymmetrischer Verschlüsselungsschlüssel, ein asymmetrischer Signaturschlüssel oder ein MAC-Signaturschlüssel sein.
Wenn Sie einen Schlüssel erstellen, fügen Sie ihn einem Schlüsselbund an einem bestimmten Cloud KMS-Standort hinzu. Sie können einen neuen Schlüsselbund erstellen oder einen vorhandenen verwenden. Auf dieser Seite generieren Sie einen neuen Cloud KMS- oder Cloud HSM-Schlüssel und fügen ihn einem vorhandenen Schlüsselbund hinzu. Informationen zum Erstellen eines Cloud EKM-Schlüssels finden Sie unter Externen Schlüssel erstellen. Informationen zum Importieren eines Cloud KMS- oder Cloud HSM-Schlüssels finden Sie unter Schlüssel importieren.
Hinweise
Bevor Sie die Aufgaben auf dieser Seite ausführen, benötigen Sie Folgendes:
- Eine Google Cloud-Projektressource, die Ihre Cloud KMS-Ressourcen enthalten soll. Wir empfehlen, für Ihre Cloud KMS-Ressourcen ein separates Projekt zu verwenden, das keine weiteren Google Cloud-Ressourcen enthält.
- Name und Speicherort des Schlüsselbunds, an dem Sie Ihren Schlüssel erstellen möchten. Wählen Sie einen Schlüsselbund an einem Speicherort aus, der sich in der Nähe Ihrer anderen Ressourcen befindet und das gewünschte Schutzniveau unterstützt. Informationen zu verfügbaren Standorten und den von ihnen unterstützten Schutzniveaus finden Sie unter Cloud KMS-Standorte. Informationen zum Erstellen eines Schlüsselbunds finden Sie unter Schlüsselbund erstellen.
- Optional: Bereiten Sie Ihre Umgebung vor, um die gcloud CLI zu verwenden.
gcloud-CLI
Aktivieren Sie Cloud Shell in der Google Cloud Console.
Erforderliche Rollen
Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Cloud KMS-Administrator (roles/cloudkms.admin
) für das Projekt oder eine übergeordnete Ressource zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Erstellen von Schlüsseln benötigen.
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.
Diese vordefinierte Rolle enthält die Berechtigungen, die zum Erstellen von Schlüsseln erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:
Erforderliche Berechtigungen
Die folgenden Berechtigungen sind erforderlich, um Schlüssel zu erstellen:
-
cloudkms.cryptoKeys.create
-
cloudkms.cryptoKeys.get
-
cloudkms.cryptoKeys.list
-
cloudkms.cryptoKeyVersions.create
-
cloudkms.cryptoKeyVersions.get
-
cloudkms.cryptoKeyVersions.list
-
cloudkms.keyRings.get
-
cloudkms.keyRings.list
-
cloudkms.locations.get
-
cloudkms.locations.list
-
resourcemanager.projects.get
-
So rufen Sie einen öffentlichen Schlüssel ab:
cloudkms.cryptoKeyVersions.viewPublicKey
Möglicherweise können Sie diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.
Symmetrischen Verschlüsselungsschlüssel erstellen
Console
Rufen Sie in der Google Cloud Console die Seite Schlüsselverwaltung auf.
Klicken Sie auf den Namen des Schlüsselbunds, für den Sie einen Schlüssel erstellen.
Klicken Sie auf Schlüssel erstellen.
Geben Sie unter Schlüsselname einen Namen für den Schlüssel ein.
Wählen Sie als Schutzniveau Software oder HSM aus.
Wählen Sie unter Schlüsselmaterial die Option Generierter Schlüssel aus.
Wählen Sie unter Purpose (Zweck) die Option Symmetric encrypt/decrypt aus.
Übernehmen Sie die Standardwerte für Rotationszeitraum und Beginnt am.
Klicken Sie auf Erstellen.
gcloud
Wenn Sie Cloud KMS in der Befehlszeile verwenden möchten, müssen Sie zuerst die neueste Version der Google Cloud CLI installieren oder ein Upgrade auf die neueste Version durchführen.
gcloud kms keys create KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --purpose "encryption" \ --protection-level "PROTECTION_LEVEL"
Ersetzen Sie Folgendes:
KEY_NAME
: Der Name des Schlüssels.KEY_RING
: der Name des Schlüsselbunds, der den Schlüssel enthält.LOCATION
: der Cloud KMS-Speicherort des Schlüsselbunds.PROTECTION_LEVEL
: Das Schutzniveau, das für den Schlüssel verwendet werden soll, z. B.software
oderhsm
. Sie können das Flag--protection-level
fürsoftware
-Schlüssel weglassen.
Wenn Sie Informationen zu allen Flags und möglichen Werten erhalten möchten, führen Sie den Befehl mit dem Flag --help
aus.
C#
Um diesen Code auszuführen, müssen Sie zuerst eine C#-Entwicklungsumgebung einrichten und das Cloud KMS C# SDK installieren.
Go
Um diesen Code auszuführen, müssen Sie zuerst eine Go-Entwicklungsumgebung einrichten und das Cloud KMS Go SDK installieren.
Java
Um diesen Code auszuführen, müssen Sie zuerst eine Java-Entwicklungsumgebung einrichten und das Cloud KMS Java SDK installieren.
Node.js
Um diesen Code auszuführen, richten Sie zuerst eine Node.js-Entwicklungsumgebung ein und installieren Sie das Cloud KMS Node.js SDK.
PHP
Um diesen Code auszuführen, müssen Sie zuerst PHP in Google Cloud verwenden lernen und das Cloud KMS PHP SDK installieren.
Python
Um diesen Code auszuführen, müssen Sie zuerst eine Python-Entwicklungsumgebung einrichten und das Cloud KMS Python SDK installieren.
Ruby
Um diesen Code auszuführen, müssen Sie zuerst eine Ruby-Entwicklungsumgebung einrichten und das Cloud KMS Ruby SDK installieren.
API
In diesen Beispielen wird curl als HTTP-Client verwendet, um die Verwendung der API zu demonstrieren. Weitere Informationen zur Zugriffssteuerung finden Sie unter Auf die Cloud KMS API zugreifen.
Verwenden Sie zum Erstellen eines Schlüssels die Methode CryptoKey.create
:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys?crypto_key_id=KEY_NAME" \ --request "POST" \ --header "authorization: Bearer TOKEN" \ --header "content-type: application/json" \ --data '{"purpose": "ENCRYPT_DECRYPT", "versionTemplate": { "protectionLevel": "PROTECTION_LEVEL", "algorithm": "ALGORITHM" }}'
Ersetzen Sie Folgendes:
PROJECT_ID
: die ID des Projekts, das den Schlüsselbund enthält.LOCATION
: der Cloud KMS-Speicherort des Schlüsselbunds.KEY_RING
: der Name des Schlüsselbunds, der den Schlüssel enthält.KEY_NAME
: Der Name des Schlüssels.PROTECTION_LEVEL
: das Schutzniveau des Schlüssels, z. B.SOFTWARE
oderHSM
.ALGORITHM
: der HMAC-Signaturalgorithmus, z. B.HMAC_SHA256
. Alle unterstützten HMAC-Algorithmen finden Sie unter HMAC-Signaturalgorithmen.
Symmetrischen Verschlüsselungsschlüssel mit benutzerdefinierter automatischer Rotation erstellen
Wenn Sie einen Schlüssel erstellen, können Sie seinen Rotationszeitraum angeben, der die Zeit zwischen der automatischen Erstellung neuer Schlüsselversionen ist. Sie können die nächste Rotationszeit auch unabhängig angeben, damit die nächste Rotation früher oder später als ein Rotationszeitraum ab jetzt erfolgt.
Console
Wenn Sie die Google Cloud Console zum Erstellen eines Schlüssels verwenden, legt Cloud KMS den Rotationszeitraum und die nächste Rotationszeit automatisch fest. Sie können die Standardwerte verwenden oder andere Werte angeben.
So können Sie beim Erstellen des Schlüssels, aber bevor Sie auf die Schaltfläche Erstellen klicken, einen anderen Rotationszeitraum und einen anderen Beginn angeben:
Wählen Sie für Schlüsselrotationszeitraum eine Option aus.
Wählen Sie unter Ab dem das Datum aus, an dem die erste automatische Rotation stattfinden soll. Sie können Beginnt am auf dem Standardwert belassen, um die erste automatische Rotation um einen Schlüsselrotationszeitraum nach dem Erstellen des Schlüssels zu starten.
gcloud
Wenn Sie Cloud KMS in der Befehlszeile verwenden möchten, müssen Sie zuerst die neueste Version der Google Cloud CLI installieren oder ein Upgrade auf die neueste Version durchführen.
gcloud kms keys create KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --purpose "encryption" \ --rotation-period ROTATION_PERIOD \ --next-rotation-time NEXT_ROTATION_TIME
Ersetzen Sie Folgendes:
KEY_NAME
: Der Name des Schlüssels.KEY_RING
: der Name des Schlüsselbunds, der den Schlüssel enthält.LOCATION
: der Cloud KMS-Speicherort des Schlüsselbunds.ROTATION_PERIOD
: Das Intervall, in dem der Schlüssel rotiert wird, z. B.30d
, damit der Schlüssel alle 30 Tage rotiert wird. Der Rotationszeitraum muss mindestens 1 Tag und darf höchstens 100 Jahre betragen. Weitere Informationen finden Sie unter CryptoKey.rotationPeriod.NEXT_ROTATION_TIME
: der Zeitstempel, zu dem die erste Rotation abgeschlossen werden soll, z. B."2023-01-01T01:02:03"
. Sie können--next-rotation-time
weglassen, um die erste Rotation 7 Tage nach Ausführung des Befehls zu planen. Weitere Informationen finden Sie unter CryptoKey.nextRotationTime.
Wenn Sie Informationen zu allen Flags und möglichen Werten erhalten möchten, führen Sie den Befehl mit dem Flag --help
aus.
C#
Um diesen Code auszuführen, müssen Sie zuerst eine C#-Entwicklungsumgebung einrichten und das Cloud KMS C# SDK installieren.
Go
Um diesen Code auszuführen, müssen Sie zuerst eine Go-Entwicklungsumgebung einrichten und das Cloud KMS Go SDK installieren.
Java
Um diesen Code auszuführen, müssen Sie zuerst eine Java-Entwicklungsumgebung einrichten und das Cloud KMS Java SDK installieren.
Node.js
Um diesen Code auszuführen, richten Sie zuerst eine Node.js-Entwicklungsumgebung ein und installieren Sie das Cloud KMS Node.js SDK.
PHP
Um diesen Code auszuführen, müssen Sie zuerst PHP in Google Cloud verwenden lernen und das Cloud KMS PHP SDK installieren.
Python
Um diesen Code auszuführen, müssen Sie zuerst eine Python-Entwicklungsumgebung einrichten und das Cloud KMS Python SDK installieren.
Ruby
Um diesen Code auszuführen, müssen Sie zuerst eine Ruby-Entwicklungsumgebung einrichten und das Cloud KMS Ruby SDK installieren.
API
In diesen Beispielen wird curl als HTTP-Client verwendet, um die Verwendung der API zu demonstrieren. Weitere Informationen zur Zugriffssteuerung finden Sie unter Auf die Cloud KMS API zugreifen.
Verwenden Sie zum Erstellen eines Schlüssels die Methode CryptoKey.create
:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys?crypto_key_id=KEY_NAME" \ --request "POST" \ --header "authorization: Bearer TOKEN" \ --header "content-type: application/json" \ --data '{"purpose": "PURPOSE", "rotationPeriod": "ROTATION_PERIOD", "nextRotationTime": "NEXT_ROTATION_TIME"}'
Ersetzen Sie Folgendes:
PURPOSE
: der Zweck des Schlüssels.ROTATION_PERIOD
: Das Intervall, in dem der Schlüssel rotiert wird, z. B.30d
, damit der Schlüssel alle 30 Tage rotiert wird. Der Rotationszeitraum muss mindestens 1 Tag und darf höchstens 100 Jahre betragen. Weitere Informationen finden Sie unter CryptoKey.rotationPeriod.NEXT_ROTATION_TIME
: der Zeitstempel, zu dem die erste Rotation abgeschlossen werden soll, z. B."2023-01-01T01:02:03"
. Sie können--next-rotation-time
weglassen, um die erste Rotation 7 Tage nach Ausführung des Befehls zu planen. Weitere Informationen finden Sie unter CryptoKey.nextRotationTime.
Dauer des Status „Zum Löschen vorgemerkt“ festlegen
Standardmäßig verbleiben Schlüsselversionen in Cloud KMS 24 Stunden im Status „Zum Löschen vorgemerkt“ (DESTROY_SCHEDULED
), bevor sie gelöscht werden. Der Status „Zum Löschen vorgemerkt“ wird manchmal als Vorläufig gelöschter Status bezeichnet. Wie lange Schlüsselversionen in diesem Status verbleiben, kann mit den folgenden Einschränkungen konfiguriert werden:
- Sie können die Dauer nur bei der Schlüsselerstellung festlegen.
- Nachdem die Dauer für den Schlüssel festgelegt wurde, kann sie nicht mehr geändert werden.
- Die Dauer gilt für alle Versionen des künftig erstellten Schlüssels.
- Die Mindestdauer beträgt 24 Stunden für alle Schlüssel mit Ausnahme von reinen Importschlüsseln, die eine Mindestdauer von 0 haben.
- Die maximale Dauer beträgt 120 Tage.
- Die Standarddauer beträgt 24 Stunden.
Für Ihre Organisation ist möglicherweise ein durch Organisationsrichtlinien definierter Mindestwert für die Löschdauer geplant. Weitere Informationen finden Sie unter Löschen des Steuerschlüssels.
So erstellen Sie einen Schlüssel mit einer benutzerdefinierten Dauer für den Status Zum Löschen vorgemerkt:
Console
Rufen Sie in der Google Cloud Console die Seite Schlüsselverwaltung auf.
Klicken Sie auf den Namen des Schlüsselbunds, für den Sie einen Schlüssel erstellen.
Klicken Sie auf Schlüssel erstellen.
Konfigurieren Sie die Einstellungen des Schlüssels für Ihre Anwendung.
Klicken Sie auf Weitere Einstellungen.
Wählen Sie unter Dauer des Status „Zum Löschen vorgemerkt“ die Anzahl der Tage aus, die der Schlüssel zum Löschen vorgemerkt bleibt, bevor er endgültig gelöscht wird.
Klicken Sie auf Schlüssel erstellen.
gcloud
Wenn Sie Cloud KMS in der Befehlszeile verwenden möchten, müssen Sie zuerst die neueste Version der Google Cloud CLI installieren oder ein Upgrade auf die neueste Version durchführen.
gcloud kms keys create KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --purpose PURPOSE \ --destroy-scheduled-duration DURATION
Ersetzen Sie Folgendes:
KEY_NAME
: Der Name des Schlüssels.KEY_RING
: der Name des Schlüsselbunds, der den Schlüssel enthält.LOCATION
: der Cloud KMS-Speicherort des Schlüsselbunds.PURPOSE
: der Zweck des Schlüssels, z. B.encryption
.DURATION
: Die Zeit, die der Schlüssel im Status Zum Löschen vorgemerkt verbleibt, bevor er endgültig gelöscht wird.
Wenn Sie Informationen zu allen Flags und möglichen Werten erhalten möchten, führen Sie den Befehl mit dem Flag --help
aus.
Wir empfehlen, die Standarddauer von 24 Stunden für alle Schlüssel zu verwenden, sofern Sie keine speziellen Anwendungs- oder regulatorischen Anforderungen haben, die einen anderen Wert erfordern.
Asymmetrischen Schlüssel erstellen
Asymmetrischen Entschlüsselungsschlüssel erstellen
So erstellen Sie einen asymmetrischen Entschlüsselungsschlüssel für den angegebenen Schlüsselbund und Speicherort. Diese Beispiele können angepasst werden, um ein anderes Schutzniveau oder einen anderen Algorithmus anzugeben. Weitere Informationen und alternative Werte finden Sie unter Algorithmen und Schutzniveaus.
Wenn Sie den Schlüssel zum ersten Mal erstellen, hat die ursprüngliche Schlüsselversion den Status Generierung ausstehend. Wenn sich der Status in Enabled (Aktiviert) ändert, können Sie den Schlüssel verwenden. Weitere Informationen zu Schlüsselversionsstatus finden Sie unter Schlüsselversionsstatus.
Console
Rufen Sie in der Google Cloud Console die Seite Schlüsselverwaltung auf.
Klicken Sie auf den Namen des Schlüsselbunds, für den Sie einen Schlüssel erstellen.
Klicken Sie auf Schlüssel erstellen.
Geben Sie unter Schlüsselname einen Namen für den Schlüssel ein.
Wählen Sie als Schutzniveau Software oder HSM aus.
Wählen Sie unter Schlüsselmaterial die Option Generierter Schlüssel aus.
Wählen Sie unter Zweck die Option Asymmetrische Entschlüsselung aus.
Wählen Sie unter Algorithmus die Option 3072 Bit RSA – OAEP-Padding – SHA256-Digest aus. Sie können diesen Wert in zukünftigen Schlüsselversionen ändern.
Klicken Sie auf Erstellen.
gcloud
Wenn Sie Cloud KMS in der Befehlszeile verwenden möchten, müssen Sie zuerst die neueste Version der Google Cloud CLI installieren oder ein Upgrade auf die neueste Version durchführen.
gcloud kms keys create KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --purpose "asymmetric-encryption" \ --default-algorithm "ALGORITHM"
Ersetzen Sie Folgendes:
KEY_NAME
: Der Name des Schlüssels.KEY_RING
: der Name des Schlüsselbunds, der den Schlüssel enthält.LOCATION
: der Cloud KMS-Speicherort des Schlüsselbunds.ALGORITHM
: Der für den Schlüssel zu verwendende Algorithmus, z. B.rsa-decrypt-oaep-3072-sha256
. Eine Liste der unterstützten asymmetrischen Verschlüsselungsalgorithmen finden Sie unter Asymmetrische Verschlüsselungsalgorithmen.
Wenn Sie Informationen zu allen Flags und möglichen Werten erhalten möchten, führen Sie den Befehl mit dem Flag --help
aus.
C#
Um diesen Code auszuführen, müssen Sie zuerst eine C#-Entwicklungsumgebung einrichten und das Cloud KMS C# SDK installieren.
Go
Um diesen Code auszuführen, müssen Sie zuerst eine Go-Entwicklungsumgebung einrichten und das Cloud KMS Go SDK installieren.
Java
Um diesen Code auszuführen, müssen Sie zuerst eine Java-Entwicklungsumgebung einrichten und das Cloud KMS Java SDK installieren.
Node.js
Um diesen Code auszuführen, richten Sie zuerst eine Node.js-Entwicklungsumgebung ein und installieren Sie das Cloud KMS Node.js SDK.
PHP
Um diesen Code auszuführen, müssen Sie zuerst PHP in Google Cloud verwenden lernen und das Cloud KMS PHP SDK installieren.
Python
Um diesen Code auszuführen, müssen Sie zuerst eine Python-Entwicklungsumgebung einrichten und das Cloud KMS Python SDK installieren.
Ruby
Um diesen Code auszuführen, müssen Sie zuerst eine Ruby-Entwicklungsumgebung einrichten und das Cloud KMS Ruby SDK installieren.
API
In diesen Beispielen wird curl als HTTP-Client verwendet, um die Verwendung der API zu demonstrieren. Weitere Informationen zur Zugriffssteuerung finden Sie unter Auf die Cloud KMS API zugreifen.
Erstellen Sie einen asymmetrischen Entschlüsselungsschlüssel, indem Sie CryptoKey.create
aufrufen.
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys?crypto_key_id=KEY_NAME" \ --request "POST" \ --header "authorization: Bearer TOKEN" \ --header "content-type: application/json" \ --data '{"purpose": "ASYMMETRIC_DECRYPT", "versionTemplate": {"algorithm": "ALGORITHM"}}'
Ersetzen Sie Folgendes:
PROJECT_ID
: die ID des Projekts, das den Schlüsselbund enthält.LOCATION
: der Cloud KMS-Speicherort des Schlüsselbunds.KEY_RING
: der Name des Schlüsselbunds, der den Schlüssel enthält.KEY_NAME
: Der Name des Schlüssels.ALGORITHM
: Der für den Schlüssel zu verwendende Algorithmus, z. B.RSA_DECRYPT_OAEP_3072_SHA256
. Eine Liste der unterstützten Algorithmen für die asymmetrische Verschlüsselung finden Sie unter Asymmetrische Verschlüsselungsalgorithmen.
Asymmetrischen Signaturschlüssel erstellen
Führen Sie die folgenden Schritte aus, um einen Schlüssel für den Schlüsselbund und den Speicherort zu erstellen. Diese Beispiele können angepasst werden, um ein anderes Schutzniveau oder einen anderen Algorithmus anzugeben. Weitere Informationen und alternative Werte finden Sie unter Algorithmen und Schutzniveaus.
Wenn Sie den Schlüssel zum ersten Mal erstellen, hat die ursprüngliche Schlüsselversion den Status Generierung ausstehend. Wenn sich der Status in Enabled (Aktiviert) ändert, können Sie den Schlüssel verwenden. Weitere Informationen zu Schlüsselversionsstatus finden Sie unter Schlüsselversionsstatus.
Console
Rufen Sie in der Google Cloud Console die Seite Schlüsselverwaltung auf.
Klicken Sie auf den Namen des Schlüsselbunds, für den Sie einen Schlüssel erstellen.
Klicken Sie auf Schlüssel erstellen.
Geben Sie unter Schlüsselname einen Namen für den Schlüssel ein.
Wählen Sie als Schutzniveau Software oder HSM aus.
Wählen Sie unter Schlüsselmaterial die Option Generierter Schlüssel aus.
Wählen Sie unter Zweck die Option Asymmetrisches Signieren aus.
Wählen Sie unter Algorithmus die Option Elliptic Curve P-256 – SHA256 Digest (Elliptische Kurve P-256 – SHA256-Digest) aus. Sie können diesen Wert bei zukünftigen Schlüsselversionen ändern.
Klicken Sie auf Erstellen.
gcloud
Wenn Sie Cloud KMS in der Befehlszeile verwenden möchten, müssen Sie zuerst die neueste Version der Google Cloud CLI installieren oder ein Upgrade auf die neueste Version durchführen.
gcloud kms keys create KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --purpose "asymmetric-signing" \ --default-algorithm "ALGORITHM"
Ersetzen Sie Folgendes:
KEY_NAME
: Der Name des Schlüssels.KEY_RING
: der Name des Schlüsselbunds, der den Schlüssel enthält.LOCATION
: der Cloud KMS-Speicherort des Schlüsselbunds.ALGORITHM
: Der für den Schlüssel zu verwendende Algorithmus, z. B.ec-sign-p256-sha256
. Eine Liste der unterstützten Algorithmen finden Sie unter Asymmetrische Signaturalgorithmen.
Wenn Sie Informationen zu allen Flags und möglichen Werten erhalten möchten, führen Sie den Befehl mit dem Flag --help
aus.
C#
Um diesen Code auszuführen, müssen Sie zuerst eine C#-Entwicklungsumgebung einrichten und das Cloud KMS C# SDK installieren.
Go
Um diesen Code auszuführen, müssen Sie zuerst eine Go-Entwicklungsumgebung einrichten und das Cloud KMS Go SDK installieren.
Java
Um diesen Code auszuführen, müssen Sie zuerst eine Java-Entwicklungsumgebung einrichten und das Cloud KMS Java SDK installieren.
Node.js
Um diesen Code auszuführen, richten Sie zuerst eine Node.js-Entwicklungsumgebung ein und installieren Sie das Cloud KMS Node.js SDK.
PHP
Um diesen Code auszuführen, müssen Sie zuerst PHP in Google Cloud verwenden lernen und das Cloud KMS PHP SDK installieren.
Python
Um diesen Code auszuführen, müssen Sie zuerst eine Python-Entwicklungsumgebung einrichten und das Cloud KMS Python SDK installieren.
Ruby
Um diesen Code auszuführen, müssen Sie zuerst eine Ruby-Entwicklungsumgebung einrichten und das Cloud KMS Ruby SDK installieren.
API
In diesen Beispielen wird curl als HTTP-Client verwendet, um die Verwendung der API zu demonstrieren. Weitere Informationen zur Zugriffssteuerung finden Sie unter Auf die Cloud KMS API zugreifen.
Erstellen Sie einen asymmetrischen Signaturschlüssel, indem Sie CryptoKey.create
aufrufen.
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys?crypto_key_id=KEY_NAME" \ --request "POST" \ --header "authorization: Bearer TOKEN" \ --header "content-type: application/json" \ --data '{"purpose": "ASYMMETRIC_SIGN", "versionTemplate": {"algorithm": "ALGORITHM"}}'
Ersetzen Sie Folgendes:
PROJECT_ID
: die ID des Projekts, das den Schlüsselbund enthält.LOCATION
: der Cloud KMS-Speicherort des Schlüsselbunds.KEY_RING
: der Name des Schlüsselbunds, der den Schlüssel enthält.KEY_NAME
: Der Name des Schlüssels.ALGORITHM
: Der für den Schlüssel zu verwendende Algorithmus, z. B.EC_SIGN_P256_SHA256
. Eine Liste der unterstützten Algorithmen finden Sie unter Algorithmen für die asymmetrische Signatur.
Öffentlichen Schlüssel abrufen
Wenn Sie einen asymmetrischen Schlüssel erstellen, erstellt Cloud KMS ein öffentliches/privates Schlüsselpaar. Sie können den öffentlichen Schlüssel eines aktivierten asymmetrischen Schlüssels jederzeit nach der Generierung des Schlüssels abrufen.
Der öffentliche Schlüssel liegt im PEM-Format (Privacy-enhanced Electronic Mail) vor. Weitere Informationen finden Sie in den Abschnitten General Considerations (Allgemeine Hinweise) und Textual Encoding of Subject Public Key Info (Textcodierung der Informationen zum öffentlichen Schlüssel des Antragstellers) von RFC 7468.
So laden Sie den öffentlichen Schlüssel für eine vorhandene asymmetrische Schlüsselversion herunter:
Console
Rufen Sie in der Google Cloud Console die Seite Schlüsselverwaltung auf.
Klicken Sie auf den Namen des Schlüsselbunds, der den asymmetrischen Schlüssel enthält, für den Sie den öffentlichen Schlüssel abrufen möchten.
Klicken Sie auf den Namen des Schlüssels, für den Sie den öffentlichen Schlüssel abrufen möchten.
Klicken Sie in der Zeile für die Schlüsselversion, für die Sie den öffentlichen Schlüssel abrufen möchten, auf Mehr anzeigen
.Klicken Sie auf Öffentlichen Schlüssel abrufen.
Der öffentliche Schlüssel wird in der Eingabeaufforderung angezeigt. Sie können den öffentlichen Schlüssel in die Zwischenablage kopieren. Klicken Sie auf Herunterladen, um den öffentlichen Schlüssel herunterzuladen.
Wenn die Option Öffentlichen Schlüssel abrufen nicht angezeigt wird, prüfen Sie Folgendes:
- Der Schlüssel ist ein asymmetrischer Schlüssel.
- Die Schlüsselversion ist aktiviert.
- Sie haben die Berechtigung
cloudkms.cryptoKeyVersions.viewPublicKey
.
Der Dateiname eines öffentlichen Schlüssels, der aus der Google Cloud Console heruntergeladen wurde, hat das folgende Format:
KEY_RING-KEY_NAME-KEY_VERSION.pub
Jeder Teil des Dateinamens ist durch einen Bindestrich getrennt, z. B. ringname-keyname-version.pub
.
gcloud
Wenn Sie Cloud KMS in der Befehlszeile verwenden möchten, müssen Sie zuerst die neueste Version der Google Cloud CLI installieren oder ein Upgrade auf die neueste Version durchführen.
gcloud kms keys versions get-public-key KEY_VERSION \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --output-file OUTPUT_FILE_PATH
Ersetzen Sie Folgendes:
KEY_VERSION
: die Schlüsselversionsnummer des Schlüssels.KEY_NAME
: Der Name des Schlüssels.KEY_RING
: der Name des Schlüsselbunds, der den Schlüssel enthält.LOCATION
: der Cloud KMS-Speicherort des Schlüsselbunds.OUTPUT_FILE_PATH
: der Pfad, unter dem Sie die öffentliche Schlüsseldatei speichern möchten, z. B.public-key.pub
.
Wenn Sie Informationen zu allen Flags und möglichen Werten erhalten möchten, führen Sie den Befehl mit dem Flag --help
aus.
C#
Um diesen Code auszuführen, müssen Sie zuerst eine C#-Entwicklungsumgebung einrichten und das Cloud KMS C# SDK installieren.
Go
Um diesen Code auszuführen, müssen Sie zuerst eine Go-Entwicklungsumgebung einrichten und das Cloud KMS Go SDK installieren.
Java
Um diesen Code auszuführen, müssen Sie zuerst eine Java-Entwicklungsumgebung einrichten und das Cloud KMS Java SDK installieren.
Node.js
Um diesen Code auszuführen, richten Sie zuerst eine Node.js-Entwicklungsumgebung ein und installieren Sie das Cloud KMS Node.js SDK.
PHP
Um diesen Code auszuführen, müssen Sie zuerst PHP in Google Cloud verwenden lernen und das Cloud KMS PHP SDK installieren.
Python
Um diesen Code auszuführen, müssen Sie zuerst eine Python-Entwicklungsumgebung einrichten und das Cloud KMS Python SDK installieren.
Ruby
Um diesen Code auszuführen, müssen Sie zuerst eine Ruby-Entwicklungsumgebung einrichten und das Cloud KMS Ruby SDK installieren.
API
In diesen Beispielen wird curl als HTTP-Client verwendet, um die Verwendung der API zu demonstrieren. Weitere Informationen zur Zugriffssteuerung finden Sie unter Auf die Cloud KMS API zugreifen.
Sie können den öffentlichen Schlüssel mithilfe der Methode CryptoKeyVersions.getPublicKey abrufen.
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/KEY_VERSION/publicKey" \ --request "GET" \ --header "authorization: Bearer TOKEN"
Ersetzen Sie Folgendes:
PROJECT_ID
: die ID des Projekts, das den Schlüsselbund enthält.LOCATION
: der Cloud KMS-Speicherort des Schlüsselbunds.KEY_RING
: der Name des Schlüsselbunds, der den Schlüssel enthält.KEY_NAME
: Der Name des Schlüssels.KEY_VERSION
: die Schlüsselversionsnummer des Schlüssels.
Die Ausgabe sollte in etwa so aussehen:
{ "pem": "-----BEGIN PUBLIC KEY-----\nQ29uZ3JhdHVsYXRpb25zLCB5b3UndmUgZGlzY292ZX JlZCB0aGF0IHRoaXMgaXNuJ3QgYWN0dWFsbHkgYSBwdWJsaWMga2V5ISBIYXZlIGEgbmlj ZSBkYXkgOik=\n-----END PUBLIC KEY-----\n", "algorithm": "ALGORITHM", "pemCrc32c": "2561089887", "name": "projects/PROJECT_ID/locations/LOCATION/keyRings/ KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/ KEY_VERSION", "protectionLevel": "SOFTWARE" }
Öffentlichen Schlüssel in das JWK-Format konvertieren
Mit Cloud KMS können Sie einen öffentlichen Schlüssel im PEM-Format abrufen. Für einige Anwendungen sind möglicherweise andere Schlüsselformate wie JSON Web Key (JWK) erforderlich. Weitere Informationen zum JWK-Format finden Sie unter RFC 7517.
So konvertieren Sie einen öffentlichen Schlüssel in das JWK-Format:
Go
Um diesen Code auszuführen, müssen Sie zuerst eine Go-Entwicklungsumgebung einrichten und das Cloud KMS Go SDK installieren.
Java
Um diesen Code auszuführen, müssen Sie zuerst eine Java-Entwicklungsumgebung einrichten und das Cloud KMS Java SDK installieren.
Python
Um diesen Code auszuführen, müssen Sie zuerst eine Python-Entwicklungsumgebung einrichten und das Cloud KMS Python SDK installieren.
Steuern Sie den Zugriff auf asymmetrische Schlüssel
Zur Signierung oder Signaturprüfung ist für den asymmetrischen Schlüssel die entsprechende Berechtigung oder Rolle erforderlich.
Gewähren Sie einem Nutzer oder Dienst, der für den Signiervorgang zuständig ist, die Berechtigung
cloudkms.cryptoKeyVersions.useToSign
für den asymmetrischen Schlüssel.Gewähren Sie einem Nutzer oder Dienst, von dem der öffentliche Schlüssel abgerufen wird, die Berechtigung
cloudkms.cryptoKeyVersions.viewPublicKey
für den asymmetrischen Schlüssel. Der öffentliche Schlüssel wird zur Signaturprüfung benötigt.
Weitere Informationen zu Berechtigungen und Rollen im Cloud KMS-Release finden Sie unter Berechtigungen und Rollen.
MAC-Signaturschlüssel erstellen
Console
Rufen Sie in der Google Cloud Console die Seite Schlüsselverwaltung auf.
Klicken Sie auf den Namen des Schlüsselbunds, für den Sie einen Schlüssel erstellen.
Klicken Sie auf Schlüssel erstellen.
Geben Sie unter Schlüsselname einen Namen für den Schlüssel ein.
Wählen Sie als Protection level (Schutzniveau) entweder Software oder HSM aus.
Wählen Sie unter Schlüsselmaterial die Option Generierter Schlüssel aus.
Wählen Sie unter Zweck die Option MAC-Signatur/-Bestätigung aus.
Optional: Wählen Sie unter Algorithmus einen HMAC-Signaturalgorithmus aus.
Klicken Sie auf Erstellen.
gcloud
Wenn Sie Cloud KMS in der Befehlszeile verwenden möchten, müssen Sie zuerst die neueste Version der Google Cloud CLI installieren oder ein Upgrade auf die neueste Version durchführen.
gcloud kms keys create KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --purpose "mac" \ --default-algorithm "ALGORITHM" \ --protection-level "PROTECTION_LEVEL"
Ersetzen Sie Folgendes:
KEY_NAME
: Der Name des Schlüssels.KEY_RING
: der Name des Schlüsselbunds, der den Schlüssel enthält.LOCATION
: der Cloud KMS-Speicherort des Schlüsselbunds.ALGORITHM
: der HMAC-Signaturalgorithmus, z. B.hmac-sha256
. Alle unterstützten HMAC-Algorithmen finden Sie unter HMAC-Signaturalgorithmen.PROTECTION_LEVEL
: das Schutzniveau des Schlüssels, z. B.hsm
. Sie können das Flag--protection-level
fürsoftware
-Schlüssel weglassen.
Wenn Sie Informationen zu allen Flags und möglichen Werten erhalten möchten, führen Sie den Befehl mit dem Flag --help
aus.
C#
Um diesen Code auszuführen, müssen Sie zuerst eine C#-Entwicklungsumgebung einrichten und das Cloud KMS C# SDK installieren.
Go
Um diesen Code auszuführen, müssen Sie zuerst eine Go-Entwicklungsumgebung einrichten und das Cloud KMS Go SDK installieren.
Java
Um diesen Code auszuführen, müssen Sie zuerst eine Java-Entwicklungsumgebung einrichten und das Cloud KMS Java SDK installieren.
Node.js
Um diesen Code auszuführen, richten Sie zuerst eine Node.js-Entwicklungsumgebung ein und installieren Sie das Cloud KMS Node.js SDK.
PHP
Um diesen Code auszuführen, müssen Sie zuerst PHP in Google Cloud verwenden lernen und das Cloud KMS PHP SDK installieren.
Python
Um diesen Code auszuführen, müssen Sie zuerst eine Python-Entwicklungsumgebung einrichten und das Cloud KMS Python SDK installieren.
Ruby
Um diesen Code auszuführen, müssen Sie zuerst eine Ruby-Entwicklungsumgebung einrichten und das Cloud KMS Ruby SDK installieren.
API
In diesen Beispielen wird curl als HTTP-Client verwendet, um die Verwendung der API zu demonstrieren. Weitere Informationen zur Zugriffssteuerung finden Sie unter Auf die Cloud KMS API zugreifen.
Verwenden Sie zum Erstellen eines Schlüssels die Methode CryptoKey.create
:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys?crypto_key_id=KEY_NAME" \ --request "POST" \ --header "authorization: Bearer TOKEN" \ --header "content-type: application/json" \ --data '{"purpose": "MAC", "versionTemplate": { "protectionLevel": "PROTECTION_LEVEL", "algorithm": "ALGORITHM" }}'
Ersetzen Sie Folgendes:
PROJECT_ID
: die ID des Projekts, das den Schlüsselbund enthält.LOCATION
: der Cloud KMS-Speicherort des Schlüsselbunds.KEY_RING
: der Name des Schlüsselbunds, der den Schlüssel enthält.KEY_NAME
: Der Name des Schlüssels.PROTECTION_LEVEL
: das Schutzniveau des Schlüssels, z. B.SOFTWARE
oderHSM
.ALGORITHM
: der HMAC-Signaturalgorithmus, z. B.HMAC_SHA256
. Alle unterstützten HMAC-Algorithmen finden Sie unter HMAC-Signaturalgorithmen.
Nächste Schritte
- Schlüsselrotation
- Signaturen erstellen und prüfen
- Daten mit einem RSA-Schlüssel verschlüsseln und entschlüsseln
- Öffentlichen Schlüssel abrufen