Usa gRPC con Cloud KMS

Si usas bibliotecas gRPC creadas manualmente para realizar llamadas a Cloud KMS, debes especificar un valor x-google-request-params en los metadatos, o en el encabezado, de la llamada. El uso adecuado de x-google-request-params enrutará la llamada a la región adecuada para tus recursos de Cloud KMS.

Configura el valor x-google-request-params para un campo en la solicitud del método, como se indica en la siguiente tabla:

Método Campo de la solicitud
AsymmetricDecrypt AsymmetricDecryptRequest.name
AsymmetricSign AsymmetricSignRequest.name
CreateCryptoKey CreateCryptoKeyRequest.parent
CreateCryptoKeyVersion CreateCryptoKeyVersionRequest.parent
CreateKeyRing CreateKeyRingRequest.parent
Decrypt DecryptRequest.name
DestroyCryptoKeyVersion DestroyCryptoKeyVersionRequest.name
Encrypt EncryptRequest.name
GetCryptoKey GetCryptoKeyRequest.name
GetCryptoKeyVersion GetCryptoKeyVersionRequest.name
GetKeyRing GetKeyRingRequest.name
GetPublicKey GetPublicKeyRequest.name
ListCryptoKeyVersions ListCryptoKeyVersionsRequest.parent
ListCryptoKeys ListCryptoKeysRequest.parent
ListKeyRings ListKeyRingsRequest.parent
RestoreCryptoKeyVersion RestoreCryptoKeyVersionRequest.name
UpdateCryptoKey UpdateCryptoKeyRequest.crypto_key.name
UpdateCryptoKeyPrimaryVersion UpdateCryptoKeyPrimaryVersionRequest.name
UpdateCryptoKeyVersion UpdateCryptoKeyVersionRequest.crypto_key_version.name

Configuración del campo de la solicitud

En los siguientes ejemplos, se indica dónde especificar el nombre del recurso en diversos métodos. Reemplaza el texto con estilo PLACE_HOLDER con los valores reales usados en tus ID de recursos de Cloud KMS.

Ejemplo de Decrypt

Si vas a realizar una llamada a Decrypt, debes propagar los siguientes campos en tu solicitud:

name: 'projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY/'
ciphertext: 'iQALWM/r6alAxQm0VQe3...'

El valor que se asigna al campo name es el nombre de recurso de tu CryptoKey. Para enrutar la llamada de manera adecuada, también debes incluir este nombre de recurso en los metadatos de la llamada, de la siguiente manera:

x-goog-request-params: 'name=projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY/'

Ejemplo de CreateKeyRing

Si vas a realizar una llamada a CreateKeyRing, debes propagar los siguientes campos en tu solicitud:

parent: 'projects/PROJECT_ID/locations/LOCATION/'
key_ring_id: 'myKeyRing'
...

Los metadatos de la llamada también deben contener el nombre de recurso de parent:

x-goog-request-params: 'parent=projects/PROJECT_ID/locations/LOCATION/'

Ejemplo de UpdateCryptoKey

Si vas a realizar una llamada a UpdateCryptoKey, debes propagar los siguientes campos en la solicitud:

name: 'projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY/'
field_mask: ...

Los metadatos también deben contener el nombre de recurso de name. Recuerda que el formato usa crypto_key.name= y no name=:

x-goog-request-params: 'crypto_key.name=projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY/'

Cómo agregar metadatos con C++

Si usas C++, llama a ClientContext::AddMetadata antes de realizar la llamada RPC a fin de agregar la información adecuada a los metadatos de la llamada.

Por ejemplo, si vas a agregar metadatos para una llamada a Decrypt:

context.AddMetadata("x-goog-request-params",
                    fmt.Sprintf("%s=%v",
                                "name",
                                "projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY/"))

Después de esto, puedes pasar el contexto a tu llamada al método como de costumbre, junto con tu solicitud y los búferes de protocolo de respuesta.

¿Te ha resultado útil esta página? Enviar comentarios:

Enviar comentarios sobre...

Documentación de Cloud KMS