google.cloud.kms.v1 软件包

索引

KeyManagementService

Google Cloud Key Management Service

管理加密密钥和使用这些密钥的操作。实现了包含以下对象的 REST 模型:

如果您使用的是手动 gRPC 库,请参阅将 gRPC 与 Cloud KMS 搭配使用

AsymmetricDecrypt

rpc AsymmetricDecrypt(AsymmetricDecryptRequest) returns (AsymmetricDecryptResponse)

解密数据,这些数据之前是使用从 GetPublicKey(对应一个具有 CryptoKeyVersion ASYMMETRIC_DECRYPT 的 CryptoKey.purpose)检索到的公钥进行加密的。

授权范围

需要以下 OAuth 范围之一:

  • https://www.googleapis.com/auth/cloudkms
  • https://www.googleapis.com/auth/cloud-platform

如需了解详情,请参阅身份验证概览

AsymmetricSign

rpc AsymmetricSign(AsymmetricSignRequest) returns (AsymmetricSignResponse)

使用一个具有 CryptoKeyVersion ASYMMETRIC_SIGN 的 CryptoKey.purpose 为数据签名,从而生成一个可使用从 GetPublicKey 检索到的公钥完成验证的签名。

授权范围

需要以下 OAuth 范围之一:

  • https://www.googleapis.com/auth/cloudkms
  • https://www.googleapis.com/auth/cloud-platform

如需了解详情,请参阅身份验证概览

CreateCryptoKey

rpc CreateCryptoKey(CreateCryptoKeyRequest) returns (CryptoKey)

KeyRing 中创建新的 CryptoKey

CryptoKey.purposeCryptoKey.version_template.algorithm 是必需的。

授权范围

需要以下 OAuth 范围之一:

  • https://www.googleapis.com/auth/cloudkms
  • https://www.googleapis.com/auth/cloud-platform

如需了解详情,请参阅身份验证概览

CreateCryptoKeyVersion

rpc CreateCryptoKeyVersion(CreateCryptoKeyVersionRequest) returns (CryptoKeyVersion)

CryptoKey 中创建新的 CryptoKeyVersion

服务器将分配下一个顺序 ID。如果未设置,则 state 将设置为 ENABLED

授权范围

需要以下 OAuth 范围之一:

  • https://www.googleapis.com/auth/cloudkms
  • https://www.googleapis.com/auth/cloud-platform

如需了解详情,请参阅身份验证概览

CreateKeyRing

rpc CreateKeyRing(CreateKeyRingRequest) returns (KeyRing)

在给定的项目和位置中创建新的 KeyRing

授权范围

需要以下 OAuth 范围之一:

  • https://www.googleapis.com/auth/cloudkms
  • https://www.googleapis.com/auth/cloud-platform

如需了解详情,请参阅身份验证概览

Decrypt

rpc Decrypt(DecryptRequest) returns (DecryptResponse)

将受 Encrypt 保护的数据解密。CryptoKey.purpose 必须是 ENCRYPT_DECRYPT

授权范围

需要以下 OAuth 范围之一:

  • https://www.googleapis.com/auth/cloudkms
  • https://www.googleapis.com/auth/cloud-platform

如需了解详情,请参阅身份验证概览

DestroyCryptoKeyVersion

rpc DestroyCryptoKeyVersion(DestroyCryptoKeyVersionRequest) returns (CryptoKeyVersion)

安排销毁 CryptoKeyVersion

调用此方法后,CryptoKeyVersion.state 将设置为 DESTROY_SCHEDULEDdestroy_time 将设置为 24 小时后的时间点,届时 state 将变为 DESTROYED,并且密钥材料将不可挽回地被销毁。

在达到 destroy_time 之前,可以调用 RestoreCryptoKeyVersion 来撤消该过程。

授权范围

需要以下 OAuth 范围之一:

  • https://www.googleapis.com/auth/cloudkms
  • https://www.googleapis.com/auth/cloud-platform

如需了解详情,请参阅身份验证概览

Encrypt

rpc Encrypt(EncryptRequest) returns (EncryptResponse)

加密数据,之后只能调用 Decrypt 来恢复数据。CryptoKey.purpose 必须是 ENCRYPT_DECRYPT

授权范围

需要以下 OAuth 范围之一:

  • https://www.googleapis.com/auth/cloudkms
  • https://www.googleapis.com/auth/cloud-platform

如需了解详情,请参阅身份验证概览

GetCryptoKey

rpc GetCryptoKey(GetCryptoKeyRequest) returns (CryptoKey)

返回给定 CryptoKey 的元数据及其 primary CryptoKeyVersion

授权范围

需要以下 OAuth 范围之一:

  • https://www.googleapis.com/auth/cloudkms
  • https://www.googleapis.com/auth/cloud-platform

如需了解详情,请参阅身份验证概览

GetCryptoKeyVersion

rpc GetCryptoKeyVersion(GetCryptoKeyVersionRequest) returns (CryptoKeyVersion)

返回给定 CryptoKeyVersion 的元数据。

授权范围

需要以下 OAuth 范围之一:

  • https://www.googleapis.com/auth/cloudkms
  • https://www.googleapis.com/auth/cloud-platform

如需了解详情,请参阅身份验证概览

GetKeyRing

rpc GetKeyRing(GetKeyRingRequest) returns (KeyRing)

返回给定 KeyRing 的元数据。

授权范围

需要以下 OAuth 范围之一:

  • https://www.googleapis.com/auth/cloudkms
  • https://www.googleapis.com/auth/cloud-platform

如需了解详情,请参阅身份验证概览

GetPublicKey

rpc GetPublicKey(GetPublicKeyRequest) returns (PublicKey)

返回给定 CryptoKeyVersion 的公钥。CryptoKey.purpose 必须是 ASYMMETRIC_SIGNASYMMETRIC_DECRYPT

授权范围

需要以下 OAuth 范围之一:

  • https://www.googleapis.com/auth/cloudkms
  • https://www.googleapis.com/auth/cloud-platform

如需了解详情,请参阅身份验证概览

ListCryptoKeyVersions

rpc ListCryptoKeyVersions(ListCryptoKeyVersionsRequest) returns (ListCryptoKeyVersionsResponse)

列出 CryptoKeyVersions

授权范围

需要以下 OAuth 范围之一:

  • https://www.googleapis.com/auth/cloudkms
  • https://www.googleapis.com/auth/cloud-platform

如需了解详情,请参阅身份验证概览

ListCryptoKeys

rpc ListCryptoKeys(ListCryptoKeysRequest) returns (ListCryptoKeysResponse)

列出 CryptoKeys

授权范围

需要以下 OAuth 范围之一:

  • https://www.googleapis.com/auth/cloudkms
  • https://www.googleapis.com/auth/cloud-platform

如需了解详情,请参阅身份验证概览

ListKeyRings

rpc ListKeyRings(ListKeyRingsRequest) returns (ListKeyRingsResponse)

列出 KeyRings

授权范围

需要以下 OAuth 范围之一:

  • https://www.googleapis.com/auth/cloudkms
  • https://www.googleapis.com/auth/cloud-platform

如需了解详情,请参阅身份验证概览

RestoreCryptoKeyVersion

rpc RestoreCryptoKeyVersion(RestoreCryptoKeyVersionRequest) returns (CryptoKeyVersion)

恢复 CryptoKeyVersion(处于 DESTROY_SCHEDULED 状态)。

恢复 CryptoKeyVersion 后,state 将设置为 DISABLEDdestroy_time 将被清除。

授权范围

需要以下 OAuth 范围之一:

  • https://www.googleapis.com/auth/cloudkms
  • https://www.googleapis.com/auth/cloud-platform

如需了解详情,请参阅身份验证概览

UpdateCryptoKey

rpc UpdateCryptoKey(UpdateCryptoKeyRequest) returns (CryptoKey)

更新 CryptoKey

授权范围

需要以下 OAuth 范围之一:

  • https://www.googleapis.com/auth/cloudkms
  • https://www.googleapis.com/auth/cloud-platform

如需了解详情,请参阅身份验证概览

UpdateCryptoKeyPrimaryVersion

rpc UpdateCryptoKeyPrimaryVersion(UpdateCryptoKeyPrimaryVersionRequest) returns (CryptoKey)

更新在 CryptoKey 中使用的 Encrypt 的版本。

如果针对非对称密钥进行调用,则将返回错误。

授权范围

需要以下 OAuth 范围之一:

  • https://www.googleapis.com/auth/cloudkms
  • https://www.googleapis.com/auth/cloud-platform

如需了解详情,请参阅身份验证概览

UpdateCryptoKeyVersion

rpc UpdateCryptoKeyVersion(UpdateCryptoKeyVersionRequest) returns (CryptoKeyVersion)

更新 CryptoKeyVersion 的元数据。

state 可以在 ENABLEDDISABLED 之间切换,只需使用此方法就能实现。请参阅 DestroyCryptoKeyVersionRestoreCryptoKeyVersion 以在其他状态之间切换。

授权范围

需要以下 OAuth 范围之一:

  • https://www.googleapis.com/auth/cloudkms
  • https://www.googleapis.com/auth/cloud-platform

如需了解详情,请参阅身份验证概览

AsymmetricDecryptRequest

KeyManagementService.AsymmetricDecrypt 的请求消息。

字段
name

string

必需字段。要用于解密的 CryptoKeyVersion 的资源名称。

必须对指定的资源 name 具有以下 Google IAM 权限才能获得授权:

  • cloudkms.cryptoKeyVersions.useToDecrypt

ciphertext

bytes

必需字段。使用指定的 CryptoKeyVersion 的公钥加密(采用 OAEP)的数据。

AsymmetricDecryptResponse

KeyManagementService.AsymmetricDecrypt 的响应消息。

字段
plaintext

bytes

已解密的数据,这些数据最初是使用匹配的公钥进行加密的。

AsymmetricSignRequest

KeyManagementService.AsymmetricSign 的请求消息。

字段
name

string

必需字段。用于签名的 CryptoKeyVersion 的资源名称。

必须对指定的资源 name 具有以下 Google IAM 权限才能获得授权:

  • cloudkms.cryptoKeyVersions.useToSign

digest

Digest

必需字段。要签名的数据的摘要。生成摘要时使用的算法必须与密钥版本的 algorithm 指定的摘要算法相同。

AsymmetricSignResponse

KeyManagementService.AsymmetricSign 的响应消息。

字段
signature

bytes

创建的签名。

CreateCryptoKeyRequest

KeyManagementService.CreateCryptoKey 的请求消息。

字段
parent

string

必需字段。与 CryptoKeys 关联的 KeyRing 的 name

必须对指定的资源 parent 具有以下 Google IAM 权限才能获得授权:

  • cloudkms.cryptoKeys.create

crypto_key_id

string

必需字段。该字段在密钥环中必须是唯一的,并且符合正则表达式:[a-zA-Z0-9_-]{1,63}

crypto_key

CryptoKey

具有初始字段值的 CryptoKey

CreateCryptoKeyVersionRequest

KeyManagementService.CreateCryptoKeyVersion 的请求消息。

字段
parent

string

必需字段。与 CryptoKeyVersions 关联的 CryptoKeyname

必须对指定的资源 parent 具有以下 Google IAM 权限才能获得授权:

  • cloudkms.cryptoKeyVersions.create

crypto_key_version

CryptoKeyVersion

具有初始字段值的 CryptoKeyVersion

CreateKeyRingRequest

KeyManagementService.CreateKeyRing 的请求消息。

字段
parent

string

必需字段。与 KeyRings 关联的位置的资源名称,格式为 projects/*/locations/*

必须对指定的资源 parent 具有以下 Google IAM 权限才能获得授权:

  • cloudkms.keyRings.create

key_ring_id

string

必需字段。该字段在位置中必须是唯一的,并且符合正则表达式 [a-zA-Z0-9_-]{1,63}

key_ring

KeyRing

具有初始字段值的 KeyRing

CryptoKey

CryptoKey 表示可用于加密操作的逻辑密钥。

CryptoKey 由一个或多个 versions 组成,这些版本代表加密操作中使用的实际密钥材料。

字段
name

string

仅限输出。此 CryptoKey 的资源名称,格式为 projects/*/locations/*/keyRings/*/cryptoKeys/*

primary

CryptoKeyVersion

仅限输出。EncryptRequest.name 中提供此 CryptoKey 时,Encrypt 将使用的“主要”CryptoKeyVersion 的副本。

CryptoKey 的主版本可以通过 UpdateCryptoKeyPrimaryVersion 进行更新。

具有 purpose ENCRYPT_DECRYPT 的所有密钥都有主版本。对于其他密钥,该字段将被省略。

purpose

CryptoKeyPurpose

CryptoKey 的不可变用途。

create_time

Timestamp

仅限输出。创建此 CryptoKey 的时间。

next_rotation_time

Timestamp

next_rotation_time,Key Management Service 将自动执行以下操作:

  1. 创建此 CryptoKey 的新版本。
  2. 将新版本标记为主版本。

通过 CreateCryptoKeyVersionUpdateCryptoKeyPrimaryVersion 手动执行的密钥轮替不会影响 next_rotation_time

具有 purpose ENCRYPT_DECRYPT 的密钥支持自动轮替。对于其他密钥,必须省略该字段。

version_template

CryptoKeyVersionTemplate

描述新 CryptoKeyVersion 实例的设置的模板。由 CreateCryptoKeyVersion 或自动轮替创建的新 CryptoKeyVersion 实例的属性由此模板控制。

labels

map<string, string>

包含用户定义的元数据的标签。如需了解详情,请参阅为密钥添加标签

rotation_period

Duration

服务自动轮替密钥时,next_rotation_time 将提前相应时间。此时间段必需至少为一天。

如果设置了 rotation_period,还必须设置 next_rotation_time

具有 purpose ENCRYPT_DECRYPT 的密钥支持自动轮替。对于其他密钥,必须省略该字段。

CryptoKeyPurpose

CryptoKeyPurpose 用于描述 CryptoKey 的加密功能。给定密钥只能用于其用途所允许的操作。

枚举
CRYPTO_KEY_PURPOSE_UNSPECIFIED 未指定。
ENCRYPT_DECRYPT 具有此用途的 CryptoKeys 可以与 EncryptDecrypt 搭配使用。
ASYMMETRIC_SIGN 具有此用途的 CryptoKeys 可以与 AsymmetricSignGetPublicKey 搭配使用。
ASYMMETRIC_DECRYPT 具有此用途的 CryptoKeys 可以与 AsymmetricDecryptGetPublicKey 搭配使用。

CryptoKeyVersion

CryptoKeyVersion 表示单个加密密钥和相关联的密钥材料。

ENABLED 版本可用于加密操作。

出于安全考虑,CryptoKeyVersion 代表的原始加密密钥材料一律不能查看或导出。该材料只能在已获授权的用户或应用调用 Cloud KMS 时用于加密、解密数据或为数据签名。

字段
name

string

仅限输出。此 CryptoKeyVersion 的资源名称,格式为 projects/*/locations/*/keyRings/*/cryptoKeys/*/cryptoKeyVersions/*

state

CryptoKeyVersionState

CryptoKeyVersion 的当前状态。

protection_level

ProtectionLevel

仅限输出。描述如何使用此 CryptoKeyVersion 执行加密操作的 ProtectionLevel

algorithm

CryptoKeyVersionAlgorithm

仅限输出。此 CryptoKeyVersion 支持的 CryptoKeyVersionAlgorithm

attestation

KeyOperationAttestation

仅限输出。创建密钥时由 HSM 生成和签名的语句。使用此语句可以验证存储在 HSM 上的密钥属性,而不依赖于 Google。此字段仅适用于 protection_levelHSM 的密钥版本。

create_time

Timestamp

仅限输出。创建此 CryptoKeyVersion 的时间。

generate_time

Timestamp

仅限输出。生成此 CryptoKeyVersion 的密钥材料的时间。

destroy_time

Timestamp

仅限输出。安排销毁此 CryptoKeyVersion 的密钥材料的时间。此字段仅在 stateDESTROY_SCHEDULED 时才会显示。

destroy_event_time

Timestamp

仅限输出。此 CryptoKeyVersion 的密钥材料被销毁的时间。此字段仅在 stateDESTROYED 时才会显示。

CryptoKeyVersionAlgorithm

CryptoKeyVersion 的算法,指示每个加密操作必须使用哪些参数。

GOOGLE_SYMMETRIC_ENCRYPTION 算法可用于 CryptoKey.purpose ENCRYPT_DECRYPT

以“RSA_SIGN_”开头的算法可用于 CryptoKey.purpose ASYMMETRIC_SIGN

以“RSA_SIGN_”命名的字段对应于以下参数:填充算法、模数位长度和摘要算法。

对于 PSS,使用的盐长度等于摘要算法的长度。例如,RSA_SIGN_PSS_2048_SHA256 将使用盐长度为 256 位或 32 字节的 PSS。

以“RSA_DECRYPT_”开头的算法可用于 CryptoKey.purpose ASYMMETRIC_DECRYPT

以“RSA_DECRYPT_”命名的字段对应于以下参数:填充算法、模数位长度和摘要算法。

以“EC_SIGN_”开头的算法可用于 CryptoKey.purpose ASYMMETRIC_SIGN

以“EC_SIGN_”命名的字段对应于以下参数:椭圆曲线、摘要算法。

枚举
CRYPTO_KEY_VERSION_ALGORITHM_UNSPECIFIED 未指定。
GOOGLE_SYMMETRIC_ENCRYPTION 创建对称加密密钥。
RSA_SIGN_PSS_2048_SHA256 具有 SHA256 摘要的 RSASSA-PSS 2048 位密钥。
RSA_SIGN_PSS_3072_SHA256 具有 SHA256 摘要的 RSASSA-PSS 3072 位密钥。
RSA_SIGN_PSS_4096_SHA256 具有 SHA256 摘要的 RSASSA-PSS 4096 位密钥。
RSA_SIGN_PSS_4096_SHA512 具有 SHA512 摘要的 RSASSA-PSS 4096 位密钥。
RSA_SIGN_PKCS1_2048_SHA256 具有 2048 位密钥和 SHA256 摘要的 RSASSA-PKCS1-v1_5。
RSA_SIGN_PKCS1_3072_SHA256 具有 3072 位密钥和 SHA256 摘要的 RSASSA-PKCS1-v1_5。
RSA_SIGN_PKCS1_4096_SHA256 具有 4096 位密钥和 SHA256 摘要的 RSASSA-PKCS1-v1_5。
RSA_SIGN_PKCS1_4096_SHA512 具有 4096 位密钥和 SHA512 摘要的 RSASSA-PKCS1-v1_5。
RSA_DECRYPT_OAEP_2048_SHA256 具有 SHA256 摘要的 RSAES-OAEP 2048 位密钥。
RSA_DECRYPT_OAEP_3072_SHA256 具有 SHA256 摘要的 RSAES-OAEP 3072 位密钥。
RSA_DECRYPT_OAEP_4096_SHA256 具有 SHA256 摘要的 RSAES-OAEP 4096 位密钥。
RSA_DECRYPT_OAEP_4096_SHA512 具有 SHA512 摘要的 RSAES-OAEP 4096 位密钥。
EC_SIGN_P256_SHA256 具有 SHA256 摘要的 NIST P-256 曲线上的 ECDSA。
EC_SIGN_P384_SHA384 具有 SHA384 摘要的 NIST P-384 曲线上的 ECDSA。

CryptoKeyVersionState

CryptoKeyVersion 的状态,指示此版本是否可以使用。

枚举
CRYPTO_KEY_VERSION_STATE_UNSPECIFIED 未指定。
PENDING_GENERATION 此版本仍在生成中,因此无法使用,也无法启用、停用或销毁。只要此版本可以使用,Cloud KMS 就会自动将其标记为 ENABLED
ENABLED 此版本可用于加密操作。
DISABLED 此版本无法使用,但密钥材料仍然可用,并且此版本可以重新置于 ENABLED 状态。
DESTROYED 此版本已销毁,密钥材料不再存储在 Cloud KMS 中。一旦版本处于此状态,其状态就无法再进行更改。
DESTROY_SCHEDULED 此版本处于已安排销毁状态,并且将很快被销毁。调用 RestoreCryptoKeyVersion 可以此版本重新置于 DISABLED 状态。

CryptoKeyVersionView

CryptoKeyVersion 的视图。控制 KeyManagementService.ListCryptoKeyVersionsKeyManagementService.ListCryptoKeys 中针对 CryptoKeyVersions 返回的信息的详细程度。

枚举
CRYPTO_KEY_VERSION_VIEW_UNSPECIFIED 各个 CryptoKeyVersion 的默认视图。不包括 attestation 字段。
FULL 提供每个 CryptoKeyVersion 中的所有字段,包括 attestation

CryptoKeyVersionTemplate

CryptoKeyVersionTemplate 指定创建新的 CryptoKeyVersion 时要使用的属性(无论通过 CreateCryptoKeyVersion 手动创建还是通过自动轮替自动创建)。

字段
protection_level

ProtectionLevel

根据此模板创建 CryptoKeyVersion 时使用的 ProtectionLevel。不可变。默认值为 SOFTWARE

algorithm

CryptoKeyVersionAlgorithm

必需字段。根据此模板创建 CryptoKeyVersion 时使用的 Algorithm

为了实现向后兼容性,如果上述两个字段被省略且 CryptoKey.purposeENCRYPT_DECRYPT,则默认为 GOOGLE_SYMMETRIC_ENCRYPTION。

DecryptRequest

KeyManagementService.Decrypt 的请求消息。

字段
name

string

必需字段。要用于解密的 CryptoKey 的资源名称。服务器将选择适当的版本。

必须对指定的资源 name 具有以下 Google IAM 权限才能获得授权:

  • cloudkms.cryptoKeyVersions.useToDecrypt

ciphertext

bytes

必需字段。EncryptResponse.ciphertext 中最初返回的加密数据。

additional_authenticated_data

bytes

可选数据,必须与 EncryptRequest.additional_authenticated_data 中最初提供的数据匹配。

DecryptResponse

KeyManagementService.Decrypt 的响应消息。

字段
plaintext

bytes

EncryptRequest.plaintext 中最初提供的解密数据。

DestroyCryptoKeyVersionRequest

KeyManagementService.DestroyCryptoKeyVersion 的请求消息。

字段
name

string

要销毁的 CryptoKeyVersion 的资源名称。

必须对指定的资源 name 具有以下 Google IAM 权限才能获得授权:

  • cloudkms.cryptoKeyVersions.destroy

Digest

Digest 包含加密消息摘要。

字段
联合字段 digest。是必需字段。消息摘要。digest 只能是下列其中一项:
sha256

bytes

使用 SHA-256 算法生成的消息摘要。

sha384

bytes

使用 SHA-384 算法生成的消息摘要。

sha512

bytes

使用 SHA-512 算法生成的消息摘要。

EncryptRequest

KeyManagementService.Encrypt 的请求消息。

字段
name

string

必需字段。要用于加密的 CryptoKeyCryptoKeyVersion 的资源名称。

如果指定了 CryptoKey,则服务器将使用其 primary version

必须对指定的资源 name 具有以下 Google IAM 权限才能获得授权:

  • cloudkms.cryptoKeyVersions.useToEncrypt

plaintext

bytes

必需字段。要加密的数据。不得大于 64KiB。

最大大小取决于密钥版本的 protection_level。对于 SOFTWARE 密钥,明文不得大于 64 KiB。对于 HSM 密钥,明文和 additional_authenticated_data 字段的总长度不得大于 8KiB。

additional_authenticated_data

bytes

如果指定该字段,则还必须在解密过程中通过 DecryptRequest.additional_authenticated_data 提供可选数据。

最大大小取决于密钥版本的 protection_level。对于 SOFTWARE 密钥,AAD 不得大于 64 KiB。对于 HSM 密钥,明文和 additional_authenticated_data 字段的总长度不得大于 8KiB。

EncryptResponse

KeyManagementService.Encrypt 的响应消息。

字段
name

string

加密中使用的 CryptoKeyVersion 的资源名称。

ciphertext

bytes

加密后的数据。

GetCryptoKeyRequest

KeyManagementService.GetCryptoKey 的请求消息。

字段
name

string

要获取的 CryptoKeyname

必须对指定的资源 name 具有以下 Google IAM 权限才能获得授权:

  • cloudkms.cryptoKeys.get

GetCryptoKeyVersionRequest

KeyManagementService.GetCryptoKeyVersion 的请求消息。

字段
name

string

要获取的 CryptoKeyVersionname

必须对指定的资源 name 具有以下 Google IAM 权限才能获得授权:

  • cloudkms.cryptoKeyVersions.get

GetKeyRingRequest

KeyManagementService.GetKeyRing 的请求消息。

字段
name

string

要获取的 KeyRingname

必须对指定的资源 name 具有以下 Google IAM 权限才能获得授权:

  • cloudkms.keyRings.get

GetPublicKeyRequest

KeyManagementService.GetPublicKey 的请求消息。

字段
name

string

要获取的 CryptoKeyVersion 公钥的 name

必须对指定的资源 name 具有以下 Google IAM 权限才能获得授权:

  • cloudkms.cryptoKeyVersions.viewPublicKey

KeyOperationAttestation

包含有关密钥操作的 HSM 生成的证明。

字段
format

AttestationFormat

仅限输出。证明数据的格式。

content

bytes

仅限输出。执行密钥操作时由 HSM 提供的证明数据。

AttestationFormat

HSM 提供的证明格式。

枚举
ATTESTATION_FORMAT_UNSPECIFIED 未指定。
CAVIUM_V1_COMPRESSED 使用 gzip 压缩的 Cavium HSM 证明。请注意,此格式由 Cavium 定义,并且可能会随时更改。

KeyRing

KeyRingCryptoKeys 的顶级逻辑分组。

字段
name

string

仅限输出。KeyRing 的资源名称,格式为 projects/*/locations/*/keyRings/*

create_time

Timestamp

仅限输出。创建此 KeyRing 的时间。

ListCryptoKeyVersionsRequest

KeyManagementService.ListCryptoKeyVersions 的请求消息。

字段
parent

string

必需字段。要列出的 CryptoKey 的资源名称,格式为 projects/*/locations/*/keyRings/*/cryptoKeys/*

必须对指定的资源 parent 具有以下 Google IAM 权限才能获得授权:

  • cloudkms.cryptoKeyVersions.list

page_size

int32

(可选)对要添加到响应中的 CryptoKeyVersions 数量的限制。随后,可以通过在后续请求中添加 ListCryptoKeyVersionsResponse.next_page_token 来获取更多 CryptoKeyVersions。如果未指定此字段,则服务器将选择相应的默认值。

page_token

string

(可选)之前通过 ListCryptoKeyVersionsResponse.next_page_token 返回的分页令牌。

view

CryptoKeyVersionView

要包含在响应中的字段。

ListCryptoKeyVersionsResponse

KeyManagementService.ListCryptoKeyVersions 的响应消息。

字段
crypto_key_versions[]

CryptoKeyVersion

CryptoKeyVersions 的列表。

next_page_token

string

用于检索下一页结果的令牌。将此值传入 ListCryptoKeyVersionsRequest.page_token 可检索下一页结果。

total_size

int32

与查询匹配的 CryptoKeyVersions 的总数。

ListCryptoKeysRequest

KeyManagementService.ListCryptoKeys 的请求消息。

字段
parent

string

必需字段。要列出的 KeyRing 的资源名称,格式为 projects/*/locations/*/keyRings/*

必须对指定的资源 parent 具有以下 Google IAM 权限才能获得授权:

  • cloudkms.cryptoKeys.list

page_size

int32

(可选)对要添加到响应中的 CryptoKeys 数量的限制。随后,可以通过在后续请求中添加 ListCryptoKeysResponse.next_page_token 来获取更多 CryptoKeys。如果未指定此字段,则服务器将选择相应的默认值。

page_token

string

(可选)之前通过 ListCryptoKeysResponse.next_page_token 返回的分页令牌。

version_view

CryptoKeyVersionView

要添加到响应中的主版本的字段。

ListCryptoKeysResponse

KeyManagementService.ListCryptoKeys 的响应消息。

字段
crypto_keys[]

CryptoKey

CryptoKeys 的列表。

next_page_token

string

用于检索下一页结果的令牌。将此值传入 ListCryptoKeysRequest.page_token 可检索下一页结果。

total_size

int32

与查询匹配的 CryptoKeys 的总数。

ListKeyRingsRequest

KeyManagementService.ListKeyRings 的请求消息。

字段
parent

string

必需字段。与 KeyRings 关联的位置的资源名称,格式为 projects/*/locations/*

必须对指定的资源 parent 具有以下 Google IAM 权限才能获得授权:

  • cloudkms.keyRings.list

page_size

int32

(可选)对要添加到响应中的 KeyRings 数量的限制。随后,可以通过在后续请求中添加 ListKeyRingsResponse.next_page_token 来获取更多 KeyRings。如果未指定此字段,则服务器将选择相应的默认值。

page_token

string

(可选)之前通过 ListKeyRingsResponse.next_page_token 返回的分页令牌。

ListKeyRingsResponse

KeyManagementService.ListKeyRings 的响应消息。

字段
key_rings[]

KeyRing

KeyRings 的列表。

next_page_token

string

用于检索下一页结果的令牌。将此值传入 ListKeyRingsRequest.page_token 可检索下一页结果。

total_size

int32

与查询匹配的 KeyRings 的总数。

LocationMetadata

给定 google.cloud.location.Location 的 Cloud KMS 元数据。

字段
hsm_available

bool

指示是否可以在此位置创建 protection_levelHSMCryptoKeys

ProtectionLevel

ProtectionLevel 指定加密操作的执行方式。

枚举
PROTECTION_LEVEL_UNSPECIFIED 未指定。
SOFTWARE 在软件中执行加密操作。
HSM 在硬件安全模块中执行加密操作。

PublicKey

给定的 CryptoKeyVersion 的公钥。通过 GetPublicKey 获取。

字段
pem

string

采用 PEM 格式编码的公钥。如需了解详情,请参阅 RFC 7468 部分中的一般注意事项主体公钥信息的文本编码

algorithm

CryptoKeyVersionAlgorithm

与此密钥关联的 Algorithm

RestoreCryptoKeyVersionRequest

KeyManagementService.RestoreCryptoKeyVersion 的请求消息。

字段
name

string

要恢复的 CryptoKeyVersion 的资源名称。

必须对指定的资源 name 具有以下 Google IAM 权限才能获得授权:

  • cloudkms.cryptoKeyVersions.restore

UpdateCryptoKeyPrimaryVersionRequest

KeyManagementService.UpdateCryptoKeyPrimaryVersion 的请求消息。

字段
name

string

要更新的 CryptoKey 的资源名称。

必须对指定的资源 name 具有以下 Google IAM 权限才能获得授权:

  • cloudkms.cryptoKeys.update

crypto_key_version_id

string

要用作主版本的子 CryptoKeyVersion 的 ID。

UpdateCryptoKeyRequest

KeyManagementService.UpdateCryptoKey 的请求消息。

字段
crypto_key

CryptoKey

具有更新后的值的 CryptoKey

必须对指定的资源 cryptoKey 具有以下 Google IAM 权限才能获得授权:

  • cloudkms.cryptoKeys.update

update_mask

FieldMask

要在此请求中更新的必需字段的列表。

UpdateCryptoKeyVersionRequest

KeyManagementService.UpdateCryptoKeyVersion 的请求消息。

字段
crypto_key_version

CryptoKeyVersion

具有更新后的值的 CryptoKeyVersion

必须对指定的资源 cryptoKeyVersion 具有以下 Google IAM 权限才能获得授权:

  • cloudkms.cryptoKeyVersions.update

update_mask

FieldMask

要在此请求中更新的必需字段的列表。

此页内容是否有用?请给出您的反馈和评价:

发送以下问题的反馈:

此网页
Cloud KMS 文档