In questa pagina viene mostrato come creare una chiave di crittografia simmetrica.
Puoi anche creare una chiave asimmetrica, una chiave Cloud HSM o una chiave Cloud External Key Manager.
Panoramica
Quando crei una chiave, la aggiungi a un keyring in una determinata posizione di Google Cloud. Puoi creare un nuovo keyring o utilizzarne uno esistente. In questo argomento, creerai un nuovo keyring a cui aggiungere una nuova chiave.
Creazione di un keyring
Segui questi passaggi per creare un keyring per la nuova chiave. Se invece vuoi utilizzare un keyring esistente, puoi creare una chiave.
Console
Vai alla pagina Gestione chiavi in Cloud Console.
Fai clic su Crea keyring.
Nel campo Nome keyring, inserisci il nome del keyring.
Dal menu a discesa Posizione keyring, seleziona una località come
"us-east1"
.Fai clic su Crea.
gcloud
Per utilizzare Cloud KMS dalla riga di comando, devi prima installare o eseguire l'upgrade all'ultima versione dell'interfaccia a riga di comando di Google Cloud.
gcloud kms keyrings create key-ring \ --location location
Sostituisci key-ring con un nome per il keyring. Sostituisci location con la località di Cloud KMS per il keyring e le relative chiavi.
Per informazioni su tutti i flag e i possibili valori, esegui il comando con il flag --help
.
C#
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo C# e installare l'SDK C# di Cloud KMS.
Go
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Go e installare l'SDK Cloud KMS Go.
Java
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Java e installare l'SDK Java di Cloud KMS.
Node.js
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Node.js e installare l'SDK Node.js di Cloud KMS.
PHP
Per eseguire questo codice, scopri come utilizzare PHP su Google Cloud e installa l'SDK PHP Cloud KMS.
Python
Per eseguire questo codice, devi prima impostare un ambiente di sviluppo Python e installare l'SDK Python di Cloud KMS.
Ruby
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Ruby e installare l'SDK Ruby di Cloud KMS.
API
Questi esempi utilizzano curl come client HTTP per dimostrare l'utilizzo dell'API. Per ulteriori informazioni sul controllo dell'accesso, consulta Accesso all'API Cloud KMS.
curl "https://cloudkms.googleapis.com/v1/projects/project-id/locations/location-id/keyRings" \ --request "POST" \ --header "authorization: Bearer token" \ --header "content-type: application/json" \ --header "x-goog-user-project: project-id" \ --data "{\"name\": {\"key-ring-name\": {}}}"
Per ulteriori informazioni, consulta la documentazione dell'API KeyRing.create
.
Crea una chiave
Segui questi passaggi per creare una chiave di crittografia simmetrica sul keyring e sulla posizione specificati.
Console
Vai alla pagina Gestione chiavi in Cloud Console.
Fai clic sul nome del keyring per cui creerai una chiave.
Fai clic su Crea chiave.
In Tipo di chiave che vuoi creare?, scegli Chiave generata.
Nel campo Nome chiave, inserisci il nome della chiave.
Fai clic sul menu a discesa Livello di protezione e seleziona Software.
Fai clic sul menu a discesa Finalità e seleziona Crittografia/decriptazione simmetrica.
Accetta i valori predefiniti per Periodo di rotazione e A partire dal giorno.
Fai clic su Crea.
gcloud
Per utilizzare Cloud KMS dalla riga di comando, devi prima installare o eseguire l'upgrade all'ultima versione dell'interfaccia a riga di comando di Google Cloud.
gcloud kms keys create key \ --keyring key-ring \ --location location \ --purpose "encryption"
Sostituisci key con il nome della chiave. Sostituisci key-ring con il nome del keyring in cui si troverà la chiave. Sostituisci location con la località di Cloud KMS del keyring.
Per informazioni su tutti i flag e i possibili valori, esegui il comando con il flag --help
.
C#
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo C# e installare l'SDK C# di Cloud KMS.
Go
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Go e installare l'SDK Cloud KMS Go.
Java
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Java e installare l'SDK Java di Cloud KMS.
Node.js
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Node.js e installare l'SDK Node.js di Cloud KMS.
PHP
Per eseguire questo codice, scopri come utilizzare PHP su Google Cloud e installa l'SDK PHP Cloud KMS.
Python
Per eseguire questo codice, devi prima impostare un ambiente di sviluppo Python e installare l'SDK Python di Cloud KMS.
Ruby
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Ruby e installare l'SDK Ruby di Cloud KMS.
Impostare un periodo di rotazione e un'ora di inizio della chiave
Puoi creare una chiave con un periodo di rotazione specificato, ovvero il tempo che intercorre tra il momento in cui vengono generate automaticamente le nuove versioni della chiave. È anche possibile creare una chiave con un'ora di rotazione successiva specificata.
Console
Quando utilizzi Google Cloud Console per creare una chiave, se non specifichi il periodo di rotazione e la durata della rotazione successivi, Cloud KMS imposterà automaticamente il periodo di rotazione e la durata della rotazione successiva.
Per specificare un periodo di rotazione e un'ora di inizio diversi, quando crei la chiave, ma prima di fare clic sul pulsante Crea:
Fai clic sul menu a discesa Periodo di rotazione e seleziona un valore per il periodo di rotazione.
Fai clic sulla data nel campo Inizia il e seleziona una data per la rotazione successiva.
gcloud
Per utilizzare Cloud KMS dalla riga di comando, devi prima installare o eseguire l'upgrade all'ultima versione dell'interfaccia a riga di comando di Google Cloud.
gcloud kms keys create key \ --keyring key-ring \ --location location \ --purpose "encryption" \ --rotation-period rotation-period \ --next-rotation-time next-rotation-time
Sostituisci key con un nome per la chiave. Sostituisci key-ring con il nome del keyring esistente
in cui si troverà la chiave. Sostituisci
location con la località di Cloud KMS per il keyring.
Sostituisci rotation-period con un intervallo, ad esempio 30d
, per ruotare
la chiave ogni 30 giorni. Sostituisci next-rotation-time con un timestamp
per iniziare la prima rotazione, ad esempio "1970-01-01T01:02:03"
.
Per informazioni su tutti i flag e i possibili valori, esegui il comando con il flag --help
.
C#
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo C# e installare l'SDK C# di Cloud KMS.
Go
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Go e installare l'SDK Cloud KMS Go.
Java
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Java e installare l'SDK Java di Cloud KMS.
Node.js
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Node.js e installare l'SDK Node.js di Cloud KMS.
PHP
Per eseguire questo codice, scopri come utilizzare PHP su Google Cloud e installa l'SDK PHP Cloud KMS.
Python
Per eseguire questo codice, devi prima impostare un ambiente di sviluppo Python e installare l'SDK Python di Cloud KMS.
Ruby
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Ruby e installare l'SDK Ruby di Cloud KMS.
Configura la durata dell'eliminazione temporanea
Per impostazione predefinita, le chiavi in Cloud KMS trascorrono 24 ore in stato di eliminazione pianificata o in stato eliminato temporaneamente prima di essere eliminate logicamente. La durata per la quale rimangono in questo stato è configurabile, tenendo presente quanto segue:
- La durata è configurabile solo durante la creazione della chiave.
- Una volta specificata, la durata non può essere modificata.
- La durata si applica a tutte le versioni della CryptoKey create in futuro.
- La durata minima è di 24 ore per tutte le chiavi, ad eccezione delle CryptoKey solo di importazione con durata minima di 0.
- La durata massima è 120 giorni.
- La durata predefinita è 24 ore.
Per configurare la durata dell'eliminazione temporanea, segui questi passaggi:
Console
Vai alla pagina Gestione chiavi in Cloud Console.
Fai clic sul nome del keyring per cui creerai una chiave.
Fai clic su Crea chiave.
Configura le impostazioni della chiave per la tua applicazione.
Fai clic su Impostazioni facoltative.
In &39;pianificata per l'eliminazione' stato, scegli il numero di giorni in cui la chiave rimarrà pianificata per l'eliminazione prima di essere eliminata definitivamente.
Fai clic su Crea chiave.
gcloud
Per utilizzare Cloud KMS dalla riga di comando, devi prima installare o eseguire l'upgrade all'ultima versione dell'interfaccia a riga di comando di Google Cloud.
gcloud kms keys create key \ --keyring key-ring \ --location location \ --purpose purpose \ --destroy-scheduled-duration duration
Sostituisci key con il nome della chiave. Sostituisci key-ring con il nome del keyring in cui si troverà la chiave. Sostituisci location con la località di Cloud KMS del keyring. Sostituisci purpose con lo scopo della chiave, ad esempio "encryption." Sostituisci duration con il periodo di tempo durante il quale la chiave rimarrà pianificata per l'eliminazione prima di essere eliminata definitivamente.
Per informazioni su tutti i flag e i possibili valori, esegui il comando con il flag --help
.
Ti consigliamo di utilizzare il periodo predefinito di 24 ore per tutte le chiavi, a meno che non hai requisiti normativi o di applicazione specifici che richiedono un valore diverso.
Crea manualmente nuove versioni della chiave
Oltre alla rotazione automatica, puoi ruotare manualmente le chiavi. Per ulteriori informazioni, consulta l'articolo Rotazione delle chiavi.