In questa pagina viene mostrato come creare una chiave di crittografia simmetrica.
Puoi anche creare una chiave asimmetrica, una chiave Cloud HSM o una chiave di Cloud External Key Manager.
Panoramica
Quando crei una chiave, la aggiungi a un keyring in una determinata posizione di Google Cloud. Puoi creare un nuovo keyring o utilizzarne uno esistente. In questo argomento, creerai un nuovo keyring e vi aggiungerai una nuova chiave.
Creazione di un keyring
Segui questi passaggi per creare un keyring per la nuova chiave. Se vuoi utilizzare un keyring esistente, puoi creare una chiave.
Console
Vai alla pagina Gestione chiavi in Google Cloud Console.
Fai clic su Crea keyring.
Nel campo Nome keyring, inserisci il nome da assegnare al keyring.
Nel menu a discesa Posizione keyring, seleziona una località come
"us-east1"
.Fai clic su Crea.
gcloud CLI
Per utilizzare Cloud KMS, dalla riga di comando, devi prima installare o eseguire l'upgrade alla versione più recente di Google Cloud CLI.
gcloud kms keyrings create key-ring \ --location location
Sostituisci key-ring con un nome per il keyring. Sostituisci location con la posizione di Cloud KMS per il keyring e le relative chiavi.
Per informazioni su tutti i flag e i possibili valori, esegui il comando con il flag --help
.
C#
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo C# e installare l'SDK C# di Cloud KMS.
Go
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Go e installare l'SDK Cloud KMS Go.
Java
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Java e installare l'SDK Java di Cloud KMS.
Node.js
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Node.js e installare l'SDK Node.js di Cloud KMS.
PHP
Per eseguire questo codice, consulta prima l'articolo sull'utilizzo di PHP su Google Cloud e installa l'SDK PHP Cloud KMS.
Python
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Python e installare l'SDK Python di Cloud KMS.
Ruby
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Ruby e installare l'SDK Ruby di Cloud KMS.
API
In questi esempi viene utilizzato curl come client HTTP per dimostrare l'utilizzo dell'API. Per maggiori informazioni sul controllo dell'accesso, consulta Accesso all'API Cloud KMS.
curl "https://cloudkms.googleapis.com/v1/projects/project-id/locations/location-id/keyRings?key_ring_id=key-ring-id" \ --request "POST" \ --header "authorization: Bearer token"
Consulta la documentazione dell'API KeyRing.create
per ulteriori informazioni.
Crea una chiave
Segui questi passaggi per creare una chiave di crittografia simmetrica sul keyring e sulla posizione specificati.
Console
Vai alla pagina Gestione chiavi in Google Cloud Console.
Fai clic sul nome del keyring per cui vuoi creare una chiave.
Fai clic su Crea chiave.
In Che tipo di chiave vuoi creare?, scegli Chiave generata.
Nel campo Nome chiave, inserisci il nome della chiave.
Fai clic sul menu a discesa Livello di protezione e seleziona Software.
Fai clic sul menu a discesa Finalità e seleziona Crittografia/decriptazione simmetrica.
Accetta i valori predefiniti per Periodo di rotazione e A partire dal giorno.
Fai clic su Crea.
gcloud CLI
Per utilizzare Cloud KMS, dalla riga di comando, devi prima installare o eseguire l'upgrade alla versione più recente di Google Cloud CLI.
gcloud kms keys create key \ --keyring key-ring \ --location location \ --purpose "encryption"
Sostituisci key con il nome della chiave. Sostituisci key-ring con il nome del keyring in cui si troverà la chiave. Sostituisci location con la posizione di Cloud KMS del keyring.
Per informazioni su tutti i flag e i possibili valori, esegui il comando con il flag --help
.
C#
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo C# e installare l'SDK C# di Cloud KMS.
Go
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Go e installare l'SDK Cloud KMS Go.
Java
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Java e installare l'SDK Java di Cloud KMS.
Node.js
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Node.js e installare l'SDK Node.js di Cloud KMS.
PHP
Per eseguire questo codice, consulta prima l'articolo sull'utilizzo di PHP su Google Cloud e installa l'SDK PHP Cloud KMS.
Python
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Python e installare l'SDK Python di Cloud KMS.
Ruby
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Ruby e installare l'SDK Ruby di Cloud KMS.
API
In questi esempi viene utilizzato curl come client HTTP per dimostrare l'utilizzo dell'API. Per maggiori informazioni sul controllo dell'accesso, consulta Accesso all'API Cloud KMS.
Per creare una chiave, utilizza il metodo CryptoKey.create
:
curl "https://cloudkms.googleapis.com/v1/projects/project-id/locations/location-id/keyRings/key-ring-id/cryptoKeys?crypto_key_id=crypto-key-id" \ --request "POST" \ --header "authorization: Bearer token" \ --header "content-type: application/json" \ --data '{"purpose": "purpose"}'
Sostituisci purpose con lo scopo della chiave. Per i valori delle finalità consentite, consulta CryptoKeyPurpose.
Impostare un periodo di rotazione delle chiavi e un'ora di inizio
Puoi creare una chiave con un periodo di rotazione specificato, ovvero il tempo che intercorre tra il momento in cui vengono generate automaticamente le nuove versioni delle chiavi. Puoi anche creare una chiave con un'ora di rotazione successiva specificata.
Console
Quando utilizzi la console Google Cloud per creare una chiave, Cloud KMS imposta automaticamente il periodo di rotazione e la successiva ora di rotazione. Puoi scegliere di utilizzare i valori predefiniti o di specificare valori diversi.
Per specificare un periodo di rotazione e un'ora di inizio diversi, quando crei la chiave, ma prima di fare clic sul pulsante Crea:
Fai clic sul campo Periodo di rotazione e seleziona un valore per il periodo di rotazione.
Fai clic sulla data nel campo A partire dal giorno, poi seleziona una data per la rotazione successiva.
gcloud CLI
Per utilizzare Cloud KMS, dalla riga di comando, devi prima installare o eseguire l'upgrade alla versione più recente di Google Cloud CLI.
gcloud kms keys create KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --purpose "encryption" \ --rotation-period ROTATION_PERIOD \ --next-rotation-time NEXT_ROTATION_TIME
Sostituisci quanto segue:
KEY_NAME
: il nome della chiave.KEY_RING
: il nome del keyring che contiene la chiave.LOCATION
: la posizione di Cloud KMS del keyring.ROTATION_PERIOD
: l'intervallo per ruotare la chiave, ad esempio30d
per ruotarla ogni 30 giorni. Il periodo di rotazione deve essere di almeno 1 giorno e non più di 100 anni. Per ulteriori informazioni, consulta la pagina CryptoKey.rotationPeriod.NEXT_ROTATION_TIME
: il timestamp in cui completare la prima rotazione, ad esempio"2023-01-01T01:02:03"
. Puoi omettere--next-rotation-time
per pianificare la prima rotazione per 7 giorni dall'esecuzione del comando. Per ulteriori informazioni, consulta la pagina CryptoKey.nextRotationTime.
Per informazioni su tutti i flag e i possibili valori, esegui il comando con il flag --help
.
C#
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo C# e installare l'SDK C# di Cloud KMS.
Go
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Go e installare l'SDK Cloud KMS Go.
Java
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Java e installare l'SDK Java di Cloud KMS.
Node.js
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Node.js e installare l'SDK Node.js di Cloud KMS.
PHP
Per eseguire questo codice, consulta prima l'articolo sull'utilizzo di PHP su Google Cloud e installa l'SDK PHP Cloud KMS.
Python
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Python e installare l'SDK Python di Cloud KMS.
Ruby
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Ruby e installare l'SDK Ruby di Cloud KMS.
API
In questi esempi viene utilizzato curl come client HTTP per dimostrare l'utilizzo dell'API. Per maggiori informazioni sul controllo dell'accesso, consulta Accesso all'API Cloud KMS.
Per creare una chiave, utilizza il metodo CryptoKey.create
:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_NAME/locations/LOCATION/keyRings/KEY_RING/cryptoKeys?crypto_key_id=KEY_NAME" \ --request "POST" \ --header "authorization: Bearer TOKEN" \ --header "content-type: application/json" \ --data '{"purpose": "PURPOSE", "rotationPeriod": "ROTATION_PERIOD", "nextRotationTime": "NEXT_ROTATION_TIME"}'
Sostituisci quanto segue:
PURPOSE
: lo scopo della chiave.ROTATION_PERIOD
: l'intervallo per ruotare la chiave, ad esempio30d
per ruotarla ogni 30 giorni. Il periodo di rotazione deve essere di almeno 1 giorno e non più di 100 anni. Per ulteriori informazioni, consulta la pagina CryptoKey.rotationPeriod.NEXT_ROTATION_TIME
: il timestamp in cui completare la prima rotazione, ad esempio"2023-01-01T01:02:03"
. Puoi omettere--next-rotation-time
per pianificare la prima rotazione per 7 giorni dall'esecuzione del comando. Per ulteriori informazioni, consulta la pagina CryptoKey.nextRotationTime.
Imposta la durata dello stato Pianificata per l'eliminazione.
Per impostazione predefinita, le versioni delle chiavi in Cloud KMS passano 24 ore in stato Pianificata per l'eliminazione (a volte chiamata stato di eliminazione temporanea) prima di essere eliminate. La durata per la quale rimane in questo stato è configurabile, con le seguenti avvertenze:
- La durata è configurabile solo durante la creazione della chiave.
- Una volta specificata, la durata della chiave non può essere modificata.
- La durata si applica a tutte le versioni della chiave create in futuro.
- La durata minima è di 24 ore per tutte le chiavi, ad eccezione delle chiavi di sola importazione che hanno una durata minima di 0.
- La durata massima è 120 giorni.
- La durata predefinita è 24 ore.
Per creare una chiave che utilizza una durata personalizzata per lo stato Pianificata per l'eliminazione, procedi come segue:
Console
Vai alla pagina Gestione chiavi in Google Cloud Console.
Fai clic sul nome del keyring per cui vuoi creare una chiave.
Fai clic su Crea chiave.
Configura le impostazioni della chiave per la tua applicazione.
Fai clic su Impostazioni facoltative.
In Durata dello stato "pianificata per l'eliminazione", scegli per quanti giorni la chiave rimarrà pianificata per l'eliminazione prima che venga eliminata definitivamente.
Fai clic su Crea chiave.
gcloud CLI
Per utilizzare Cloud KMS, dalla riga di comando, devi prima installare o eseguire l'upgrade alla versione più recente di Google Cloud CLI.
gcloud kms keys create key \ --keyring key-ring \ --location location \ --purpose purpose \ --destroy-scheduled-duration duration
Sostituisci key con il nome della chiave. Sostituisci key-ring con il nome del keyring in cui si troverà la chiave. Sostituisci location con la posizione di Cloud KMS del keyring. Sostituisci purpose con lo scopo della chiave, ad esempio "crittografia". Sostituisci duration con il periodo di tempo in cui la chiave rimarrà pianificata per l'eliminazione prima che venga eliminata definitivamente.
Per informazioni su tutti i flag e i possibili valori, esegui il comando con il flag --help
.
Ti consigliamo di utilizzare la durata predefinita di 24 ore per tutte le chiavi, a meno che tu non abbia requisiti normativi o di applicazione specifici che richiedono un valore diverso.
Crea manualmente nuove versioni della chiave
Oltre alla rotazione automatica, puoi ruotare manualmente le chiavi. Per ulteriori dettagli, consulta la sezione Chiavi di rotazione.