Questa pagina descrive come utilizzare una chiave di crittografia di Cloud Key Management Service creata manualmente con Cloud Storage, inclusa l'impostazione delle chiavi predefinite sui bucket e l'aggiunta di chiavi ai singoli oggetti. Una chiave di crittografia Cloud KMS è una chiave di crittografia gestita dal cliente (CMEK). Queste chiavi vengono create e gestite tramite Cloud KMS e archiviate come chiavi software, in un cluster HSM o esternamente.
Se invece vuoi utilizzare la funzionalità Autokey di Cloud KMS per generare chiavi e mazzi di chiavi on demand che proteggono i bucket Cloud Storage e gli oggetti al loro interno, consulta Utilizzare Autokey con le risorse Cloud Storage. Per decidere quale tipo di chiave è adatto a te quando confronti CMEK con Cloud KMS con Autokey e la crittografia predefinita di Google, consulta Confronto tra CMEK e chiavi di proprietà e gestite da Google.
Prima di iniziare
Prima di utilizzare questa funzionalità in Cloud Storage, devi:
Abilita l'API Cloud KMS per il progetto che memorizzerà le tue chiavi di crittografia.
Disporre di autorizzazioni sufficienti per il progetto che memorizzerà le chiavi di crittografia:
Se sei il proprietario del progetto che memorizzerà le tue chiavi, molto probabilmente hai l'autorizzazione necessaria.
Se prevedi di creare nuovi keyring e chiavi di crittografia, devi disporre dell'autorizzazione
cloudkms.keyRings.create
ecloudkms.cryptoKeys.create
.Indipendentemente dal fatto che tu intenda utilizzare chiavi e portachiavi nuovi o esistenti, devi disporre dell'autorizzazione
cloudkms.cryptoKeys.setIamPolicy
per le chiavi che utilizzerai per la crittografia.Questa autorizzazione ti consente di concedere agli agenti di servizio Cloud Storage accesso alle chiavi Cloud KMS.
Le autorizzazioni riportate sopra sono contenute nel ruolo Amministratore Cloud KMS.
Consulta Utilizzare IAM con Cloud KMS per istruzioni su come ottenere questo o altri ruoli Cloud KMS.
Disporre di una raccolta di chiavi Cloud KMS e avere almeno una chiave al suo interno.
Il portachiavi deve trovarsi nella stessa posizione dei dati che intendi criptare, ma può trovarsi in un progetto diverso. Per le località Cloud KMS disponibili, consulta Località di Cloud KMS.
Disporre delle autorizzazioni sufficienti per lavorare con gli oggetti nel bucket Cloud Storage:
Se sei il proprietario del progetto che contiene il bucket, molto probabilmente hai l'autorizzazione necessaria.
Se utilizzi IAM, devi disporre dell'autorizzazione
storage.objects.create
per scrivere oggetti nel bucket e dell'autorizzazionestorage.objects.get
per leggere gli oggetti dal bucket. Consulta Utilizzare le autorizzazioni IAM per istruzioni su come ottenere un ruolo, ad esempio Amministratore oggetti archiviazione, che dispone di queste autorizzazioni.Se utilizzi gli ACL, devi disporre dell'autorizzazione
WRITER
basata sul bucket per scrivere oggetti nel bucket e dell'autorizzazioneREADER
basata sugli oggetti per leggere gli oggetti dal bucket. Per istruzioni su come procedere, consulta Impostare le ACL.
-
Ottieni l'indirizzo email dell'agente di servizio associato al progetto che contiene il tuo bucket Cloud Storage. Se esegui questo passaggio, crei automaticamente l'agente di servizio se non esiste al momento.
Assegnare una chiave Cloud KMS a un agente di servizio
Per utilizzare le chiavi CMEK, concedi all'agente di servizio Cloud Storage associato al tuo bucket l'autorizzazione per utilizzare la chiave Cloud KMS per la crittografia e la decrittografia:
Console
- Apri il browser Chiavi di Cloud Key Management Service nella console Google Cloud.
Apri il browser delle chiavi Cloud KMS Fai clic sul nome del mazzo di chiavi contenente la chiave che vuoi utilizzare.
Seleziona la casella di controllo per la chiave che ti interessa.
La scheda Autorizzazioni nel riquadro della finestra a destra diventa disponibile.
Nella finestra di dialogo Aggiungi entità, specifica l'indirizzo email dell'agente del servizio Cloud Storage a cui stai concedendo l'accesso.
Nel menu a discesa Seleziona un ruolo, seleziona Autore crittografia/decrittografia CryptoKey Cloud KMS.
Fai clic su Aggiungi.
Per scoprire come ottenere informazioni dettagliate sugli errori relativi alle operazioni di Cloud Storage non riuscite nella console Google Cloud, consulta la sezione Risoluzione dei problemi.
Riga di comando
Utilizza il comando gcloud storage service-agent
con il flag --authorize-cmek
per concedere all'agente di servizio associato al tuo bucket l'autorizzazione per criptare e decriptare gli oggetti utilizzando la tua chiave Cloud KMS:
gcloud storage service-agent --project=PROJECT_STORING_OBJECTS --authorize-cmek=KEY_RESOURCE
Dove:
PROJECT_STORING_OBJECTS
è l'ID o il numero del progetto contenente gli oggetti che vuoi criptare o decriptare. Ad esempio,my-pet-project
.KEY_RESOURCE
è la risorsa chiave Cloud KMS.
Librerie client
C#
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage C#.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Go
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Go.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Java
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Java.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Node.js
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Node.js.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
PHP
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage PHP.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Python
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Python.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Ruby
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Ruby.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
API REST
API JSON
Avere installato e inizializzatogcloud CLI, che consente di generare un token di accesso per l'intestazione
Authorization
.Crea un file JSON contenente le seguenti informazioni:
{ "policy": { "bindings": { "role": "roles/cloudkms.cryptoKeyEncrypterDecrypter", "members": "serviceAccount:SERVICE_AGENT_EMAIL_ADDRESS" }, } }
dove
SERVICE_AGENT_EMAIL_ADDRESS
è l'indirizzo email associato al tuo agente di servizio. Ad esempio,service-7550275089395@gs-project-accounts.iam.gserviceaccount.com
.Utilizza
cURL
per chiamare l'API Cloud KMS con una richiestaPOST setIamPolicy
:curl -X POST --data-binary @JSON_FILE_NAME \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ "https://cloudkms.googleapis.com/v1/KEY_RESOURCE:setIamPolicy"
Dove:
JSON_FILE_NAME
è il percorso del file JSON che hai creato nel passaggio 2.KEY_RESOURCE
è la risorsa chiave Cloud KMS.
API XML
L'API XML non può essere utilizzata per assegnare un Cloud KMS a un agente di servizio. Utilizza uno degli altri strumenti Cloud Storage, ad esempio l'interfaccia a riga di comando gcloud.
Utilizza le chiavi di crittografia predefinite
Impostare la chiave predefinita per un bucket
Per aggiungere, modificare o rimuovere la chiave Cloud KMS utilizzata per impostazione predefinita quando gli oggetti vengono scritti in un bucket:
Console
- Nella console Google Cloud, vai alla pagina Bucket in Cloud Storage.
Nell'elenco dei bucket, fai clic sul nome del bucket desiderato.
Nella pagina Dettagli bucket, fai clic sulla scheda Configurazione.
Fai clic sull'icona a forma di matita associata alla voce Tipo di crittografia.
Imposta o rimuovi la chiave Cloud KMS predefinita per il bucket.
Se al momento il bucket non utilizza una chiave Cloud KMS, seleziona il pulsante di opzione Chiave gestita dal cliente e poi una delle chiavi disponibili nel menu a discesa associato.
Se al momento il bucket utilizza una chiave Cloud KMS, modificala nel menu a discesa o rimuovila selezionando il pulsante di opzione Chiave gestita da Google.
Fai clic su Salva.
Per scoprire come ottenere informazioni dettagliate sugli errori relativi alle operazioni di Cloud Storage non riuscite nella console Google Cloud, consulta la sezione Risoluzione dei problemi.
Riga di comando
Utilizza il comando gcloud storage buckets update
con il
flag appropriato:
gcloud storage buckets update gs://BUCKET_NAME FLAG
Dove:
BUCKET_NAME
è il nome del bucket pertinente. Ad esempio,my-bucket
.FLAG
è l'impostazione predefinita per la chiave nel bucket. Utilizza uno dei seguenti formati:--default-encryption-key=
e una risorsa chiave Cloud KMS, se vuoi aggiungere o modificare una chiave predefinita.--clear-default-encryption-key
, se vuoi rimuovere la chiave predefinita dal bucket.
In caso di esito positivo, la risposta è simile alla seguente:
Updating gs://my-bucket/... Completed 1
Librerie client
C++
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage C++.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Il seguente esempio imposta una chiave di crittografia gestita dal cliente predefinita in un bucket:
Il seguente esempio rimuove la chiave di crittografia gestita dal cliente predefinita da un bucket:
C#
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage C#.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Il seguente esempio imposta una chiave di crittografia gestita dal cliente predefinita in un bucket:
Il seguente esempio rimuove la chiave di crittografia gestita dal cliente predefinita da un bucket:
Go
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Go.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Il seguente esempio imposta una chiave di crittografia gestita dal cliente predefinita in un bucket:
Il seguente esempio rimuove la chiave di crittografia gestita dal cliente predefinita da un bucket:
Java
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Java.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Il seguente esempio imposta una chiave di crittografia gestita dal cliente predefinita in un bucket:
Il seguente esempio rimuove la chiave di crittografia gestita dal cliente predefinita da un bucket:
Node.js
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Node.js.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Il seguente esempio imposta una chiave di crittografia gestita dal cliente predefinita in un bucket:
Il seguente esempio rimuove la chiave di crittografia gestita dal cliente predefinita da un bucket:
PHP
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage PHP.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Il seguente esempio imposta una chiave di crittografia gestita dal cliente predefinita in un bucket:
Il seguente esempio rimuove la chiave di crittografia gestita dal cliente predefinita da un bucket:
Python
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Python.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Il seguente esempio imposta una chiave di crittografia gestita dal cliente predefinita in un bucket:
Il seguente esempio rimuove la chiave di crittografia gestita dal cliente predefinita da un bucket:
Ruby
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Ruby.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Il seguente esempio imposta una chiave di crittografia gestita dal cliente predefinita in un bucket:
Il seguente esempio rimuove la chiave di crittografia gestita dal cliente predefinita da un bucket:
API REST
API JSON
Avere installato e inizializzatogcloud CLI, che consente di generare un token di accesso per l'intestazione
Authorization
.Crea un file JSON contenente le seguenti informazioni:
{ "encryption": { "defaultKmsKeyName": "KEY_RESOURCE" } }
dove
KEY_RESOURCE
è la risorsa chiave Cloud KMS.Per rimuovere la chiave Cloud KMS predefinita da un bucket, utilizza quanto segue nel file JSON:
{ "encryption": { "defaultKmsKeyName": null } }
Utilizza
cURL
per chiamare l'API JSON con una richiestaPATCH
Bucket:curl -X PATCH --data-binary @JSON_FILE_NAME \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME?fields=encryption"
Dove:
JSON_FILE_NAME
è il percorso del file JSON che hai creato nel passaggio 2.BUCKET_NAME
è il nome del bucket pertinente. Ad esempio,my-bucket
.
API XML
Avere installato e inizializzatogcloud CLI, che consente di generare un token di accesso per l'intestazione
Authorization
.Crea un file XML contenente le seguenti informazioni:
<EncryptionConfiguration> <DefaultKmsKeyName>KEY_RESOURCE</DefaultKmsKeyName> </EncryptionConfiguration>
dove
KEY_RESOURCE
è la risorsa chiave Cloud KMS.Per rimuovere la chiave Cloud KMS predefinita da un bucket, utilizza quanto segue nel file XML:
<EncryptionConfiguration></EncryptionConfiguration>
Utilizza
cURL
per chiamare l'API XML con una richiestaPUT
Bucket e il parametro della stringa di queryencryptionConfig
:curl -X PUT --data-binary @XML_FILE_NAME \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://storage.googleapis.com/BUCKET_NAME?encryptionConfig"
Dove:
XML_FILE_NAME
è il percorso del file XML che hai creato nel passaggio 2.BUCKET_NAME
è il nome del bucket pertinente. Ad esempio,my-bucket
.
Visualizzare la chiave predefinita per un bucket
Per visualizzare la chiave Cloud KMS attualmente impostata come predefinita per il tuo separato:
Console
- Nella console Google Cloud, vai alla pagina Bucket in Cloud Storage.
Nell'elenco dei bucket, fai clic sul nome del bucket desiderato.
Nella pagina Dettagli bucket, fai clic sulla scheda Configurazione.
La chiave predefinita corrente per il bucket viene visualizzata nel campo Chiave di crittografia.
Per scoprire come ottenere informazioni dettagliate sugli errori relativi alle operazioni di Cloud Storage non riuscite nella console Google Cloud, consulta la sezione Risoluzione dei problemi.
Riga di comando
Utilizza il comando gcloud storage buckets describe
con il flag --format
:
gcloud storage buckets describe gs://BUCKET_NAME --format="default(default_kms_key)"
dove BUCKET_NAME
è il nome del bucket
la cui chiave vuoi visualizzare. Ad esempio, my-bucket
.
In caso di esito positivo, la risposta è simile alla seguente:
default_kms_key: KEY_RESOURCE
Librerie client
C++
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage C++.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
C#
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage C#.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Per visualizzare la chiave KMS predefinita, segui le istruzioni per visualizzare i metadati di un bucket e cerca il campo della chiave KMS predefinita nella risposta.Go
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Go.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Per visualizzare la chiave KMS predefinita, segui le istruzioni per visualizzare i metadati di un bucket e cerca il campo della chiave KMS predefinita nella risposta.Java
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Java.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Per visualizzare la chiave KMS predefinita, segui le istruzioni per visualizzare i metadati di un bucket e cerca il campo della chiave KMS predefinita nella risposta.Node.js
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Node.js.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Per visualizzare la chiave KMS predefinita, segui le istruzioni per visualizzare i metadati di un bucket e cerca il campo della chiave KMS predefinita nella risposta.PHP
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage PHP.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Per visualizzare la chiave KMS predefinita, segui le istruzioni per visualizzare i metadati di un bucket e cerca il campo della chiave KMS predefinita nella risposta.Python
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Python.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Per visualizzare la chiave KMS predefinita, segui le istruzioni per visualizzare i metadati di un bucket e cerca il campo della chiave KMS predefinita nella risposta.Ruby
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Ruby.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Per visualizzare la chiave KMS predefinita, segui le istruzioni per visualizzare i metadati di un bucket e cerca il campo della chiave KMS predefinita nella risposta.API REST
API JSON
Avere installato e inizializzatogcloud CLI, che consente di generare un token di accesso per l'intestazione
Authorization
.Utilizza
cURL
per chiamare l'API JSON con una richiestaGET
Bucket che includa ilfields
desiderato:curl -X GET -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME?fields=encryption"
dove
BUCKET_NAME
è il nome del bucket la cui chiave vuoi visualizzare. Ad esempio,my-bucket
.La risposta è simile al seguente esempio:
{ "encryption" : { "defaultKmsKeyName": "KEY_RESOURCE" }, }
API XML
Avere installato e inizializzatogcloud CLI, che consente di generare un token di accesso per l'intestazione
Authorization
.Utilizza
cURL
per chiamare l'API XML con una richiestaGET
Bucket che include il parametro di queryencryption
:curl -X GET -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://storage.googleapis.com/BUCKET_NAME?encryptionConfig"
dove
BUCKET_NAME
è il nome del bucket la cui chiave vuoi visualizzare. Ad esempio,my-bucket
.La risposta è simile al seguente esempio:
<EncryptionConfiguration> <DefaultKmsKeyName>KEY_RESOURCE</DefaultKmsKeyName> </EncryptionConfiguration>
Crittografare un oggetto con una chiave Cloud KMS
Puoi criptare un singolo oggetto con una chiave Cloud KMS. Questa opzione è utile se vuoi utilizzare una chiave diversa da quella predefinita impostata sul bucket o se non hai impostato una chiave predefinita sul bucket. Il nome della risorsa chiave utilizzata per criptare l'oggetto è archiviato nei metadati dell'oggetto.
Console
La console Google Cloud non può essere utilizzata per specificare le chiavi Cloud KMS su base per oggetto. Utilizza invece l'interfaccia alla gcloud CLI o le librerie client.
Riga di comando
Utilizza il comando gcloud storage cp
con il flag --encryption-key
:
gcloud storage cp SOURCE_DATA gs://BUCKET_NAME/OBJECT_NAME --encryption-key=KEY_RESOURCE
Dove:
SOURCE_DATA
è la posizione di origine dei dati che stai criptando. Può essere qualsiasi posizione di origine supportata dal comandocp
. Ad esempiogs://my-bucket/pets/old-dog.png
.BUCKET_NAME
è il nome del bucket di destinazione per questo comando di copia. Ad esempio,my-bucket
.OBJECT_NAME
è il nome dell'oggetto finale criptato. Ad esempio,pets/new-dog.png
.KEY_RESOURCE
è la risorsa chiave Cloud KMS che vuoi utilizzare per criptare l'oggetto.
Librerie client
C++
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage C++.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
C#
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage C#.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Go
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Go.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Java
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Java.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Node.js
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Node.js.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
PHP
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage PHP.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Python
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Python.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Ruby
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Ruby.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
API REST
API JSON
Avere installato e inizializzatogcloud CLI, che consente di generare un token di accesso per l'intestazione
Authorization
.Aggiungi i dati dell'oggetto al corpo della richiesta.
Utilizza
cURL
per chiamare l'API JSON con una richiesta diPOST
oggetto:curl -X POST --data-binary @OBJECT \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: OBJECT_CONTENT_TYPE" \ "https://storage.googleapis.com/upload/storage/v1/b/BUCKET_NAME/o?uploadType=media&name=OBJECT_NAME&kmsKeyName=KEY_RESOURCE"
Dove:
OBJECT
è il percorso dell'oggetto che stai caricando. Ad esempio,Desktop/dog.png
.OBJECT_CONTENT_TYPE
è il tipo di contenuto dell'oggetto. Ad esempio:image/png
.BUCKET_NAME
è il nome del bucket in cui stai caricando l'oggetto. Ad esempio,my-bucket
.OBJECT_NAME
è il nome codificato in URL dell'oggetto che stai caricando. Ad esempio,pets/dog.png
, codificato come URL comepets%2Fdog.png
.KEY_RESOURCE
è la risorsa chiave Cloud KMS.
API XML
Avere installato e inizializzatogcloud CLI, che consente di generare un token di accesso per l'intestazione
Authorization
.Aggiungi i dati dell'oggetto al corpo della richiesta.
Utilizza
cURL
per chiamare l'API XML con una richiesta diPUT
Object:curl -X PUT --data-binary @OBJECT \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: OBJECT_CONTENT_TYPE" \ -H "x-goog-encryption-kms-key-name: KEY_RESOURCE" \ "https://storage.googleapis.com/BUCKET_NAME/OBJECT_NAME"
Dove:
OBJECT
è il percorso dell'oggetto che stai caricando. Ad esempio,Desktop/dog.png
.OBJECT_CONTENT_TYPE
è il tipo di contenuto dell'oggetto. Ad esempio:image/png
.BUCKET_NAME
è il nome del bucket in cui stai caricando l'oggetto. Ad esempio,my-bucket
.OBJECT_NAME
è il nome codificato in URL dell'oggetto che stai caricando. Ad esempio,pets/dog.png
, codificato come URL comepets%2Fdog.png
.KEY_RESOURCE
è la risorsa chiave Cloud KMS.
Passare da una chiave fornita dal cliente a una chiave Cloud KMS
Se gli oggetti sono criptati con chiavi di crittografia fornite dal cliente, puoi ruotarle per utilizzare le chiavi Cloud KMS riscrivendo l'oggetto:
Console
La console Google Cloud non può essere utilizzata per modificare le chiavi di crittografia su base individuale. Utilizza invece l'interfaccia alla gcloud CLI o le librerie client.
Riga di comando
Utilizza il comando gcloud storage objects update
con i flag appropriati:
gcloud storage objects update gs://BUCKET_NAME/OBJECT_NAME --encryption-key=KMS_KEY --decryption-keys=CSEK_KEY
Dove:
BUCKET_NAME
è il nome del bucket che contiene l'oggetto di cui stai ruotando la chiave. Ad esempio,my-bucket
.OBJECT_NAME
è il nome dell'oggetto di cui stai ruotando la chiave. Ad esempio,pets/dog.png
.KMS_KEY
è la risorsa chiave Cloud KMS da utilizzare per criptare l'oggetto.CSEK_KEY
è la chiave di crittografia fornita dal cliente attualmente utilizzata nell'oggetto.
Librerie client
C++
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage C++.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
C#
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage C#.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Go
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Go.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Java
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Java.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Node.js
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Node.js.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
PHP
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage PHP.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Python
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Python.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Ruby
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Ruby.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
API REST
API JSON
Avere installato e inizializzatogcloud CLI, che consente di generare un token di accesso per l'intestazione
Authorization
.Utilizza
cURL
per chiamare l'API JSON con una richiesta diPOST
oggetto:curl -X POST \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Length: 0" \ -H "x-goog-copy-source-encryption-algorithm: AES256" \ -H "x-goog-copy-source-encryption-key: OLD_ENCRYPTION_KEY" \ -H "x-goog-copy-source-encryption-key-sha256: HASH_OF_OLD_KEY" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/o/OBJECT_NAME/rewriteTo/b/BUCKET_NAME/o/OBJECT_NAME?kmsKeyName=KEY_RESOURCE"
Dove:
OLD_ENCRYPTION_KEY
è la chiave AES-256 corrente utilizzata per criptare l'oggetto.HASH_OF_OLD_KEY
è l'hash SHA-256 corrente per la chiave AES-256.BUCKET_NAME
è il nome del bucket contenente l'oggetto pertinente. Ad esempio,my-bucket
.OBJECT_NAME
è il nome con codifica URL dell'oggetto di cui stai ruotando le chiavi. Ad esempio,pets/dog.png
, codificato come URL inpets%2Fdog.png
.KEY_RESOURCE
è la risorsa chiave Cloud KMS.
API XML
L'API XML non supporta la rotazione da una chiave di crittografia fornita dal cliente a una chiave Cloud KMS tramite l'oggetto di riscrittura. Per eseguire una rotazione di questo tipo utilizzando l'API XML, devi:
.
Identificare la chiave utilizzata per criptare un oggetto
Per trovare la chiave Cloud KMS utilizzata per criptare un oggetto:
Console
- Nella console Google Cloud, vai alla pagina Bucket in Cloud Storage.
Nell'elenco dei bucket, fai clic sul nome del bucket che contiene l'oggetto desiderato.
Viene visualizzata la pagina Dettagli bucket con la scheda Oggetti selezionata.
Vai all'oggetto, che potrebbe trovarsi in una cartella.
Nella colonna Crittografia, passa il mouse sopra la voce relativa all'oggetto desiderato.
Il nome e la versione della chiave vengono visualizzati nel formato:
LOCATION/KEY_RING_NAME/KEY_NAME/KEY_VERSION
Riga di comando
Utilizza il comando gcloud storage objects describe
con il flag --format
:
gcloud storage objects describe gs://BUCKET_NAME/OBJECT_NAME --format="default(kms_key)"
Dove:
BUCKET_NAME
è il nome del bucket contenente l'oggetto criptato. Ad esempio,my-bucket
.OBJECT_NAME
è il nome dell'oggetto criptato. Ad esempio,pets/dog.png
.
In caso di esito positivo, la risposta è simile alla seguente:
kms_key: projects/my-pet-project/locations/LOCATION_NAME/keyRings/KEYRING_NAME/cryptoKeys/KEY_NAME/cryptoKeyVersions/VERSION_NUMBER
Librerie client
C++
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage C++.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
C#
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage C#.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Per visualizzare la chiave KMS associata a un oggetto, segui le istruzioni per visualizzare i metadati di un oggetto e cerca il campo del nome della chiave KMS nella risposta.Go
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Go.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Per visualizzare la chiave KMS associata a un oggetto, segui le istruzioni per visualizzare i metadati di un oggetto e cerca il campo del nome della chiave KMS nella risposta.Java
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Java.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Per visualizzare la chiave KMS associata a un oggetto, segui le istruzioni per visualizzare i metadati di un oggetto e cerca il campo del nome della chiave KMS nella risposta.Node.js
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Node.js.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Per visualizzare la chiave KMS associata a un oggetto, segui le istruzioni per visualizzare i metadati di un oggetto e cerca il campo del nome della chiave KMS nella risposta.PHP
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage PHP.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Per visualizzare la chiave KMS associata a un oggetto, segui le istruzioni per visualizzare i metadati di un oggetto e cerca il campo del nome della chiave KMS nella risposta.Python
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Python.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Ruby
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Ruby.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Per visualizzare la chiave KMS associata a un oggetto, segui le istruzioni per visualizzare i metadati di un oggetto e cerca il campo del nome della chiave KMS nella risposta.API REST
API JSON
Avere installato e inizializzatogcloud CLI, che consente di generare un token di accesso per l'intestazione
Authorization
.Utilizza
cURL
per chiamare l'API JSON con una richiesta diGET
oggetto:curl -X GET \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/o/OBJECT_NAME?fields=kmsKeyName"
Dove:
BUCKET_NAME
è il nome del bucket contenente l'oggetto criptato. Ad esempio,my-bucket
.OBJECT_NAME
è il nome con codifica URL dell'oggetto criptato. Ad esempio,pets/dog.png
, codificato come URL comepets%2Fdog.png
.
API XML
Avere installato e inizializzatogcloud CLI, che consente di generare un token di accesso per l'intestazione
Authorization
.Utilizza
cURL
per chiamare l'API XML con una richiesta diGET
Object:curl -X GET \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://storage.googleapis.com/BUCKET_NAME/OBJECT_NAME?encryption"
Dove:
BUCKET_NAME
è il nome del bucket contenente l'oggetto criptato. Ad esempio,my-bucket
.OBJECT_NAME
è il nome con codifica URL dell'oggetto criptato. Ad esempio,pets/dog.png
, codificato come URL comepets%2Fdog.png
.
Decriptare un oggetto
La decrittografia di un oggetto criptato con una chiave Cloud KMS viene eseguita automaticamente, a condizione che l'agente di servizio pertinente abbia accesso alla chiave. Per maggiori informazioni, consulta Agenti di servizio con CMEK.
Passaggi successivi
- Scopri di più sui CMEK in Cloud Storage.
- Scopri le altre opzioni di crittografia disponibili in Cloud Storage.
- Ruota le chiavi Cloud KMS.
- Scopri altri prodotti che possono funzionare con Cloud KMS.
- Scopri i vincoli delle norme dell'organizzazione
restrictNonCmekServices
erestrictCmekCryptoKeyProjects
per assumere un maggiore controllo sull'utilizzo delle chiavi Cloud KMS.