Guía de inicio rápido

En esta guía de inicio rápido, se muestra cómo crear y usar las claves de encriptación con Google Cloud Key Management Service.

En esta guía de inicio rápido, se usa la línea de comandos para enviar solicitudes a la API de Cloud KMS. A fin de ver ejemplos de programación que usen las bibliotecas cliente para enviar solicitudes a la API de Cloud KMS, consulta Encriptación y desencriptación.

Antes de comenzar

  1. Accede a tu Cuenta de Google.

    Si todavía no tienes una cuenta, regístrate para obtener una nueva.

  2. Selecciona o crea un proyecto de GCP.

    Ir a la página Administrar recursos

  3. Asegúrate de tener habilitada la facturación para tu proyecto.

    Aprende a habilitar la facturación

  4. Habilita las Cloud KMS API necesarias.

    Habilita las API

  5. Realiza la instalación y la inicialización del SDK de Cloud.

Claves y llaveros de claves

Para encriptar y desencriptar contenido necesitarás una clave de Cloud KMS, que sea parte de un llavero de claves.

Crea un llavero de claves llamado test y una clave llamada quickstart. Consulta la descripción general de la jerarquía de objetos para obtener más información sobre estos objetos y cómo se relacionan.

gcloud kms keyrings create test --location global
gcloud kms keys create quickstart --location global \
  --keyring test --purpose encryption

Puedes usar la opción list para ver el nombre y los metadatos de la clave que acabas de crear.

gcloud kms keys list --location global --keyring test

Debería ver lo siguiente:

NAME                                                                    PURPOSE          PRIMARY_STATE
projects/[PROJECT_ID]/locations/global/keyRings/test/cryptoKeys/quickstart  ENCRYPT_DECRYPT  ENABLED

Encripta datos

Ahora que tienes una clave, puedes usarla para encriptar texto o contenido binario.

Almacena algún texto que se encriptará en un archivo llamado “mysecret.txt”.

echo "Some text to be encrypted" > mysecret.txt

Para encriptar datos con gcloud kms encrypt, proporciona la información de clave, especifica el nombre del archivo sin formato que encriptarás y también el nombre del archivo que incluirá el contenido encriptado como sigue:

gcloud kms encrypt --location global \
  --keyring test --key quickstart \
  --plaintext-file mysecret.txt \
  --ciphertext-file mysecret.txt.encrypted

El método encrypt guarda tu contenido encriptado en el archivo que especifica la marca --ciphertext-file.

Desencripta contenido cifrado

A fin de desencriptar los datos con gcloud kms decrypt, proporciona tu información de clave, especifica el nombre del archivo encriptado (archivo cifrado) para desencriptarlo y también el nombre del archivo que incluirá el contenido desencriptado como sigue

gcloud kms decrypt --location global \
  --keyring test --key quickstart \
  --ciphertext-file mysecret.txt.encrypted \
  --plaintext-file mysecret.txt.decrypted

El método decrypt guarda tu contenido desencriptado en el archivo que especifica la marca --plaintext-file.

A fin de desencriptar contenido encriptado, debes usar la misma clave de usaste para encriptarlo.

Limpiar

Para evitar generar cargos en tu cuenta de GCP por los recursos que usaste en esta guía de inicio rápido, haz lo siguiente:

Crea una lista de versiones disponibles para tu clave:

gcloud kms keys versions list --location global \
  --keyring test --key quickstart

Para destruir una versión, ejecuta el siguiente comando [VERSION_NUMBER] con el número de la versión que se destruirá:

gcloud kms keys versions destroy [VERSION_NUMBER] \
  --location global --keyring test --key quickstart

Próximos pasos

¿Te sirvió esta página? Envíanos tu opinión:

Enviar comentarios sobre…

Documentación de Cloud KMS