Aceder à API

Recomendamos que aceda ao Cloud Key Management Service através das nossas bibliotecas cliente de APIs Google de alto desempenho. Estas bibliotecas, que se ligam à API gRPC do Cloud KMS, são fornecidas em várias linguagens de programação populares.

Também pode aceder ao Cloud KMS através da nossa API REST. Assim, qualquer idioma que suporte o envio de pedidos HTTP pode aceder à API. No entanto, a maioria dos utilizadores prefere uma biblioteca de cliente mais idiomática.

Também existe uma interface baseada na Web para o Cloud KMS na Google Cloud consola, que permite operações de gestão de chaves. Não é possível realizar operações de encriptação e desencriptação a partir da interface Web.

Queremos tornar o acesso ao Cloud KMS uma experiência agradável a partir de todos os idiomas e plataformas, e vamos continuar a trabalhar nesse sentido. Se não estivermos a cumprir as suas expectativas de alguma forma, contacte-nos.

Plataformas

A forma como os clientes acedem à API pode variar ligeiramente consoante a plataforma em que o código está a ser executado, particularmente no que diz respeito à autenticação. As Credenciais padrão da aplicação da Google abstraem muitas das diferenças, mas ainda há algumas coisas a ter em atenção. Para mais informações sobre a autenticação, consulte a vista geral da autenticação.

Compute Engine e Google Kubernetes Engine

O software executado no Compute Engine, incluindo nós do Google Kubernetes Engine, autentica-se normalmente através de credenciais aprovisionadas automaticamente no ambiente através da conta de serviço anexada. O mesmo se aplica ao Cloud KMS. Certifique-se de que, quando cria uma instância, lhe concede acesso ao âmbito OAuth https://www.googleapis.com/auth/cloudkms (preferível porque suporta o princípio do menor privilégio) ou https://www.googleapis.com/auth/cloud-platform.

Por exemplo:

gcloud compute instances create "instance-1" \
    --zone "us-east1-b" \
    --scopes "https://www.googleapis.com/auth/cloudkms"

Para mais informações, consulte a documentação do Compute Engine ou a documentação do GKE.

App Engine

Para usar o Cloud KMS com o App Engine:

  1. Conceda à sua conta de serviço do App Engine (PROJECT_ID@appspot.gserviceaccount.com) autorizações de gestão de identidade e de acesso para gerir e/ou usar as suas chaves.
  2. Use as Credenciais padrão da aplicação e especifique o âmbito https://www.googleapis.com/auth/cloudkms. Também pode especificar o âmbito https://www.googleapis.com/auth/cloud-platform, mas inclui âmbitos mais amplos do que apenas o Cloud KMS.

Para mais informações, consulte os artigos Aceder à API e Controlar o acesso na documentação do App Engine.

Autenticação do cliente

Se a sua aplicação precisar de autenticar os utilizadores diretamente, pode obter e usar credenciais em nome dos mesmos. Para saber mais, consulte o artigo Contas de utilizador.