Auf dieser Seite wird gezeigt, wie Sie einen symmetrischen Verschlüsselungsschlüssel erstellen.
Sie können auch einen asymmetrischen Schlüssel, einen Cloud HSM-Schlüssel oder einen Cloud External Key Manager-Schlüssel erstellen.
Übersicht
Wenn Sie einen Schlüssel erstellen, fügen Sie ihn einem Schlüsselbund an einem bestimmten Google Cloud-Speicherort hinzu. Sie können einen neuen Schlüsselbund erstellen oder einen vorhandenen verwenden. In diesem Thema erstellen Sie einen neuen Schlüsselbund und fügen ihm einen neuen Schlüssel hinzu.
Schlüsselbund erstellen
Führen Sie die folgenden Schritte aus, um einen Schlüsselbund für Ihren neuen Schlüssel zu erstellen. Wenn Sie stattdessen einen vorhandenen Schlüsselbund verwenden möchten, können Sie einen Schlüssel erstellen.
Console
Rufen Sie in der Google Cloud Console die Seite Schlüsselverwaltung auf.
Klicken Sie auf KeyRing erstellen.
Geben Sie im Feld Schlüsselbundname den gewünschten Namen für den Schlüsselbund ein.
Wählen Sie im Drop-down-Menü Schlüsselbundort einen Standort wie
"us-east1"
aus.Klicken Sie auf Erstellen.
gcloud
Wenn Sie Cloud KMS über die Befehlszeile verwenden möchten, installieren Sie die neueste Version von Google Cloud CLI oder führen Sie ein Upgrade darauf durch.
gcloud kms keyrings create key-ring \ --location location
Geben Sie für key-ring einen Namen für die Schlüsselbund an. Ersetzen Sie location durch den Cloud KMS-Standort für den Schlüsselbund und seine Schlüssel.
Wenn Sie Informationen zu allen Flags und möglichen Werten erhalten möchten, führen Sie den Befehl mit dem Flag --help
aus.
C#
Um diesen Code auszuführen, müssen Sie zuerst eine C#-Entwicklungsumgebung einrichten und das Cloud KMS C# SDK installieren.
Go
Um diesen Code auszuführen, müssen Sie zuerst eine Go-Entwicklungsumgebung einrichten und das Cloud KMS Go SDK installieren.
Java
Um diesen Code auszuführen, müssen Sie zuerst eine Java-Entwicklungsumgebung einrichten und das Cloud KMS Java SDK installieren.
Node.js
Um diesen Code auszuführen, richten Sie zuerst eine Node.js-Entwicklungsumgebung ein und installieren Sie das Cloud KMS Node.js SDK.
PHP
Um diesen Code auszuführen, müssen Sie zuerst PHP in Google Cloud verwenden lernen und das Cloud KMS PHP SDK installieren.
Python
Um diesen Code auszuführen, müssen Sie zuerst eine Python-Entwicklungsumgebung einrichten und das Cloud KMS Python SDK installieren.
Ruby
Um diesen Code auszuführen, müssen Sie zuerst eine Ruby-Entwicklungsumgebung einrichten und das Cloud KMS Ruby SDK installieren.
API
In diesen Beispielen wird curl als HTTP-Client verwendet, um die Verwendung der API zu demonstrieren. Weitere Informationen zur Zugriffssteuerung finden Sie unter Auf die Cloud KMS API zugreifen.
curl "https://cloudkms.googleapis.com/v1/projects/project-id/locations/location-id/keyRings" \ --request "POST" \ --header "authorization: Bearer token" \ --header "content-type: application/json" \ --header "x-goog-user-project: project-id" \ --data "{\"name\": {\"key-ring-name\": {}}}"
Weitere Informationen finden Sie in der KeyRing.create
API-Dokumentation.
Schlüssel erstellen
Führen Sie die folgenden Schritte aus, um einen symmetrischen Verschlüsselungsschlüssel für den angegebenen Schlüsselbund und den angegebenen Standort zu erstellen.
Console
Rufen Sie in der Google Cloud Console die Seite Schlüsselverwaltung auf.
Klicken Sie auf den Namen des Schlüsselbunds, für den Sie einen Schlüssel erstellen.
Klicken Sie auf Schlüssel erstellen.
Wählen Sie unter Welchen Schlüsseltyp möchten Sie erstellen? die Option Generierter Schlüssel aus.
Geben Sie im Feld Schlüsselname einen Namen für den Schlüssel ein.
Klicken Sie auf das Drop-down-Menü Schutzstufe und wählen Sie Software aus.
Klicken Sie auf das Drop-down-Menü Zweck und wählen Sie Symmetrisches Ver-/Entschlüsseln aus.
Übernehmen Sie die Standardwerte für Rotationszeitraum und Beginnt am.
Klicken Sie auf Erstellen.
gcloud
Wenn Sie Cloud KMS über die Befehlszeile verwenden möchten, installieren Sie die neueste Version von Google Cloud CLI oder führen Sie ein Upgrade darauf durch.
gcloud kms keys create key \ --keyring key-ring \ --location location \ --purpose "encryption"
Geben Sie für key den Namen für den Schlüssel an. Ersetzen Sie key-ring durch den Namen des Schlüsselbunds, in dem sich der Schlüssel befinden wird. Ersetzen Sie location durch den Cloud KMS-Speicherort für den Schlüsselbund.
Wenn Sie Informationen zu allen Flags und möglichen Werten erhalten möchten, führen Sie den Befehl mit dem Flag --help
aus.
C#
Um diesen Code auszuführen, müssen Sie zuerst eine C#-Entwicklungsumgebung einrichten und das Cloud KMS C# SDK installieren.
Go
Um diesen Code auszuführen, müssen Sie zuerst eine Go-Entwicklungsumgebung einrichten und das Cloud KMS Go SDK installieren.
Java
Um diesen Code auszuführen, müssen Sie zuerst eine Java-Entwicklungsumgebung einrichten und das Cloud KMS Java SDK installieren.
Node.js
Um diesen Code auszuführen, richten Sie zuerst eine Node.js-Entwicklungsumgebung ein und installieren Sie das Cloud KMS Node.js SDK.
PHP
Um diesen Code auszuführen, müssen Sie zuerst PHP in Google Cloud verwenden lernen und das Cloud KMS PHP SDK installieren.
Python
Um diesen Code auszuführen, müssen Sie zuerst eine Python-Entwicklungsumgebung einrichten und das Cloud KMS Python SDK installieren.
Ruby
Um diesen Code auszuführen, müssen Sie zuerst eine Ruby-Entwicklungsumgebung einrichten und das Cloud KMS Ruby SDK installieren.
Schlüsselrotationszeitraum und Startzeit festlegen
Ein Schlüssel kann mit einem festgelegten Rotationszeitraum erstellt werden, was dem Zeitraum zwischen der automatischen Generierung neuer Schlüsselversionen entspricht. Ein Schlüssel kann auch mit einer angegebenen nächsten Rotationszeit erstellt werden.
Console
Wenn Sie die Google Cloud Console zum Erstellen eines Schlüssels verwenden und wenn Sie keinen eigenen Rotationszeitraum und die nächste Rotationszeit angeben, legt Cloud KMS den Rotationszeitraum und den nächsten Rotationszeitraum für den Schlüssel automatisch fest.
So können Sie beim Erstellen Ihres Schlüssels einen anderen Rotationszeitraum und einen anderen Beginn angeben, bevor Sie auf die Schaltfläche Erstellen klicken:
Klicken Sie auf das Dropdown-Menü Rotationszeitraum und wählen Sie einen Wert für den Rotationszeitraum aus.
Klicken Sie im Feld Ab dem auf das Datum und wählen Sie dann ein Datum für die nächste Drehung aus.
gcloud
Wenn Sie Cloud KMS über die Befehlszeile verwenden möchten, installieren Sie die neueste Version von Google Cloud CLI oder führen Sie ein Upgrade darauf durch.
gcloud kms keys create key \ --keyring key-ring \ --location location \ --purpose "encryption" \ --rotation-period rotation-period \ --next-rotation-time next-rotation-time
Geben Sie für key einen Namen für die Schlüsseldatei an. Ersetzen Sie key-ring durch den Namen des vorhandenen Schlüsselbunds, in dem sich der Schlüssel befinden wird. Ersetzen Sie location durch den Cloud KMS-Speicherort für den Schlüsselbund.
Ersetzen Sie rotation-period durch ein Intervall wie 30d
, um den Schlüssel alle 30 Tage zu rotieren. Ersetzen Sie next-rotation-time durch einen Zeitstempel, an dem die erste Rotation beginnt. Beispiel: "1970-01-01T01:02:03"
.
Wenn Sie Informationen zu allen Flags und möglichen Werten erhalten möchten, führen Sie den Befehl mit dem Flag --help
aus.
C#
Um diesen Code auszuführen, müssen Sie zuerst eine C#-Entwicklungsumgebung einrichten und das Cloud KMS C# SDK installieren.
Go
Um diesen Code auszuführen, müssen Sie zuerst eine Go-Entwicklungsumgebung einrichten und das Cloud KMS Go SDK installieren.
Java
Um diesen Code auszuführen, müssen Sie zuerst eine Java-Entwicklungsumgebung einrichten und das Cloud KMS Java SDK installieren.
Node.js
Um diesen Code auszuführen, richten Sie zuerst eine Node.js-Entwicklungsumgebung ein und installieren Sie das Cloud KMS Node.js SDK.
PHP
Um diesen Code auszuführen, müssen Sie zuerst PHP in Google Cloud verwenden lernen und das Cloud KMS PHP SDK installieren.
Python
Um diesen Code auszuführen, müssen Sie zuerst eine Python-Entwicklungsumgebung einrichten und das Cloud KMS Python SDK installieren.
Ruby
Um diesen Code auszuführen, müssen Sie zuerst eine Ruby-Entwicklungsumgebung einrichten und das Cloud KMS Ruby SDK installieren.
Dauer für das vorläufige Löschen konfigurieren
Standardmäßig verbringen Schlüssel im Cloud KMS-Status 24 Stunden im Status Zum Löschen vorgemerkt oder im Zustand "Vorläufig gelöscht", bevor sie logisch gelöscht werden. Sie können diesen Zeitraum ändern. Allerdings gibt es folgende Einschränkungen:
- Die Dauer kann nur während der Schlüsselerstellung konfiguriert werden.
- Nach der Angabe kann die Dauer nicht mehr geändert werden.
- Die Dauer gilt für alle in der Zukunft erstellten CryptoKey-Versionen.
- Die Mindestdauer beträgt für alle Schlüssel 24 Stunden. Ausgenommen sind CryptoKeys mit Import, die eine Mindestdauer von 0 haben.
- Die maximale Dauer beträgt 120 Tage.
- Die Standarddauer beträgt 24 Stunden.
So konfigurieren Sie die Dauer für das vorläufige Löschen:
Console
Rufen Sie in der Google Cloud Console die Seite Schlüsselverwaltung auf.
Klicken Sie auf den Namen des Schlüsselbunds, für den Sie einen Schlüssel erstellen.
Klicken Sie auf Schlüssel erstellen.
Konfigurieren Sie die Einstellungen des Schlüssels für Ihre Anwendung.
Klicken Sie auf Optionale Einstellungen.
Wählen Sie unter Dauer des Löschens&ns aus, wie viele Tage der Schlüssel zum Löschen vorgemerkt werden soll, bevor er endgültig gelöscht wird.
Klicken Sie auf Schlüssel erstellen.
gcloud
Wenn Sie Cloud KMS über die Befehlszeile verwenden möchten, installieren Sie die neueste Version von Google Cloud CLI oder führen Sie ein Upgrade darauf durch.
gcloud kms keys create key \ --keyring key-ring \ --location location \ --purpose purpose \ --destroy-scheduled-duration duration
Geben Sie für key den Namen für den Schlüssel an. Ersetzen Sie key-ring durch den Namen des Schlüsselbunds, in dem sich der Schlüssel befinden wird. Ersetzen Sie location durch den Cloud KMS-Speicherort für den Schlüsselbund. Ersetzen Sie purpose durch den Zweck des Schlüssels, z. B. „Verschlüsselung“. Ersetze duration durch die Zeit, in der der Schlüssel gelöscht wird, bevor er endgültig gelöscht wird.
Wenn Sie Informationen zu allen Flags und möglichen Werten erhalten möchten, führen Sie den Befehl mit dem Flag --help
aus.
Wir empfehlen, die Standarddauer von 24 Stunden für alle Schlüssel zu verwenden, es sei denn, Sie haben spezifische Anwendungs- oder regulatorische Anforderungen, die einen anderen Wert erfordern.
Neue Schlüsselversionen manuell erstellen
Neben der automatischen Rotation können Sie Schlüssel manuell rotieren. Weitere Informationen finden Sie unter Schlüssel rotieren.