非対称鍵の作成

このトピックでは、非対称鍵の作成について説明します。対称鍵を作成する場合は、鍵と鍵リングの作成トピックをご覧ください。

鍵リングの作成

鍵リングはロケーションと名前によって定義します。

コンソール

  1. GCP Console で [暗号鍵] ページに移動します。

  2. [鍵リングを作成] をクリックします。

  3. [キーリング名] フィールドに、キーリングの名前を入力します。

  4. [場所] プルダウンからロケーションを選択します。

  5. [作成] をクリックします。

コマンドライン

ロケーション [LOCATION][KEYRING_NAME] という名前の新しい鍵リングを作成します。

gcloud kms keyrings create [KEYRING_NAME] \
  --location [LOCATION]

API

KeyRing.create メソッドを呼び出して鍵リングを作成します。

鍵の作成

鍵は鍵リング内に作成する必要があります。

コンソール

  1. GCP Console で [暗号鍵] ページに移動します。

  2. 鍵を作成する鍵リングの名前をクリックします。

  3. [鍵を作成] をクリックします。

  4. [キー名] フィールドに、鍵の名前を入力します。

  5. [目的] プルダウンをクリックします。[非対称的な署名] や [非対称的な復号化] など、非対称鍵の目的を選択します。鍵の目的の詳細については、鍵の目的をご覧ください。

  6. [アルゴリズム] プルダウンをクリックします。鍵のアルゴリズムを選択します。このアルゴリズムは、将来の鍵バージョンに対して変更できます。どの目的を選択するかに応じて、使用できるアルゴリズムが決まります。たとえば、鍵の目的が非対称的な署名である場合、サポートされるアルゴリズムとして楕円曲線 P-256(SHA256 ダイジェストを使用)などがあります。非同期鍵のアルゴリズムの詳細については、鍵の目的とアルゴリズムをご覧ください。

  7. [保護レベル] では、[ソフトウェア] または [HSM] のいずれかを選択します。保護レベルの詳細については、保護レベルをご覧ください。
    [暗号鍵] ページは次のようになります。

    非対称鍵の作成

  8. (省略可)鍵にラベルを追加する場合は、[ラベル] フィールドで [ラベルを追加] をクリックします。

  9. [作成] をクリックします。

コマンドライン

鍵リング [KEYRING_NAME] に新しい鍵 [KEY_NAME] を作成します。

非対称鍵を作成する手順は次のとおりです。

  • --purposeasymmetric-signing または asymmetric-encryption に設定します。--purpose でサポートされる値のリストについては、--purpose をご覧ください。鍵の一般的な目的の詳細については、鍵の目的をご覧ください。
  • --default-algorithm を、使用するアルゴリズムに設定します。このアルゴリズムは、将来の鍵バージョンに対して変更できます。鍵の目的に何を選択するかによって、サポートされるアルゴリズムが決まります。たとえば、鍵の目的が asymmetric- signing の場合、サポートされるアルゴリズムには ec-sign-p256-sha256 などがあります。--default-algorithm でサポートされる値のリストについては、--default- algorithm をご覧ください。鍵のアルゴリズムの詳細については、鍵の目的とアルゴリズムをご覧ください。
  • --protection-levelsoftware または hsm に設定します。保護レベルの詳細については、保護レベルをご覧ください。
gcloud kms keys create [KEY_NAME] \
  --location [LOCATION] \
  --keyring [KEYRING_NAME] \
  --purpose [PURPOSE] \
  --default-algorithm [ALGORITHM] \
  --protection-level [PROTECTION_LEVEL]

API

CryptoKey.create メソッドを呼び出して非対称鍵を作成します。

非対称鍵を作成する際の鍵バージョンの初期状態は [生成を保留中] です。Cloud KMS による鍵バージョンの生成が完了すると、状態は自動的に [有効] に変わります。鍵バージョンの状態の詳細については、鍵の状態をご覧ください。

新しく作成した鍵バージョンの公開鍵部分を取得するには、公開鍵の取得の説明をご覧ください。

非対称鍵へのアクセス制御

署名者または検証者には、非対称鍵に対する適切な権限または役割が必要です。

  • 署名を行うユーザーまたはサービスには、非対称鍵に対する cloudkms.cryptoKeyVersions.useToSign 権限を付与します。

  • 公開鍵を取得するユーザーまたはサービスには、非対称鍵に対する cloudkms.cryptoKeyVersions.viewPublicKey を付与します。署名の検証には公開鍵が必要です。

Cloud KMS リリースでの権限と役割については、権限と役割をご覧ください。

次のステップ

このページは役立ちましたか?評価をお願いいたします。

フィードバックを送信...