Guía de inicio rápido

En esta guía de inicio rápido, se muestra cómo crear y usar claves de encriptación con Google Cloud Key Management Service.

En esta guía de inicio rápido, se usa la línea de comandos para enviar solicitudes a la API de Cloud KMS. A fin de ver ejemplos de programación que usen las bibliotecas cliente para enviar solicitudes a la API de Cloud KMS, consulta Encriptación y desencriptación.

Antes de comenzar

  1. Accede a tu Cuenta de Google.

    Si todavía no tienes una cuenta, regístrate para obtener una nueva.

  2. En GCP Console, ve a la página Administrar recursos y selecciona o crea un proyecto.

    Ir a la página Administrar recursos

  3. Comprueba que la facturación esté habilitada en tu proyecto.

    Descubre cómo puedes habilitar la facturación

  4. Habilita las Cloud KMS API necesarias.

    Habilita las API

  5. Realiza la instalación y la inicialización del SDK de Cloud.

Claves y llaveros de claves

Para encriptar y desencriptar contenido, necesitarás una clave de Cloud KMS, que es parte de un llavero de claves.

Crea un llavero de claves denominado test y una clave con el nombre quickstart. Consulta la descripción general de la jerarquía de objetos para obtener más información sobre estos objetos y cómo se relacionan.

gcloud kms keyrings create test --location global
gcloud kms keys create quickstart --location global \
  --keyring test --purpose encryption

Puedes usar la opción list para ver el nombre y los metadatos de la clave que acabas de crear.

gcloud kms keys list --location global --keyring test

Deberías ver lo siguiente:

NAME                                                                    PURPOSE          PRIMARY_STATE
projects/PROJECT_ID/locations/global/keyRings/test/cryptoKeys/quickstart  ENCRYPT_DECRYPT  ENABLED

Encripta datos

Ahora que tienes una clave, puedes usarla para encriptar texto o contenido binario.

Almacena algo de texto para encriptar en un archivo llamado “mysecret.txt”.

echo -n "Some text to be encrypted" > mysecret.txt

Para encriptar los datos con gcloud kms encrypt, proporciona tu información de clave, especifica el nombre del archivo de texto sin formato que se debe encriptar y especifica el nombre del archivo que contendrá el contenido encriptado:

gcloud kms encrypt --location global \
  --keyring test --key quickstart \
  --plaintext-file mysecret.txt \
  --ciphertext-file mysecret.txt.encrypted

El método encrypt guarda tu contenido encriptado en el archivo que especifica la marca --ciphertext-file.

Desencripta contenido cifrado

Para desencriptar los datos con gcloud kms decrypt, proporciona tu información de clave, especifica el nombre del archivo encriptado (archivo de cifrado) a desencriptar, y especifica el nombre del archivo que contendrá el contenido desencriptado:

gcloud kms decrypt --location global \
  --keyring test --key quickstart \
  --ciphertext-file mysecret.txt.encrypted \
  --plaintext-file mysecret.txt.decrypted

El método decrypt guarda tu contenido desencriptado en el archivo que especifica la marca --plaintext-file.

A fin de desencriptar contenido, debes utilizar la misma clave que usaste para encriptarlo.

Limpieza

Sigue estos pasos para evitar que se generen cargos en tu cuenta de GCP por los recursos que usaste en esta guía de inicio rápido:

Obtén una lista de las versiones disponibles para tu clave:

gcloud kms keys versions list --location global \
  --keyring test --key quickstart

Para destruir una versión, ejecuta el siguiente comando con el número de la versión que se destruirá en lugar de VERSION_NUMBER:

gcloud kms keys versions destroy VERSION_NUMBER \
  --location global --keyring test --key quickstart

Pasos siguientes

¿Te ha resultado útil esta página? Enviar comentarios:

Enviar comentarios sobre...

Documentación de Cloud KMS