建議您透過高效能的 Google API 用戶端程式庫存取 Cloud Key Management Service。這些程式庫可連線至 Cloud KMS gRPC API,並提供多種常見的程式設計語言。
您也可以透過我們的 REST API 存取 Cloud KMS。因此,支援傳送 HTTP 要求的任何語言都可以存取 API。不過,大多數使用者會偏好更符合語法的用戶端程式庫。
Google Cloud 控制台的 Cloud KMS 也有網頁型介面,可讓您進行金鑰管理作業。無法透過網頁介面執行加密與解密作業。
我們希望您能夠透過每種語言及平台存取 Cloud KMS,而且我們也一直致力於此。如果我們有任何不足,請告訴我們。
平台
用戶端存取 API 的方式可能會因執行程式碼的平台而稍有不同,尤其是在驗證方面。Google 應用程式預設憑證可去除許多差異,但仍需注意一些事項。如要進一步瞭解驗證,請參閱驗證總覽。
Compute Engine 和 Google Kubernetes Engine
在 Compute Engine 上執行的軟體 (包括 Google Kubernetes Engine 節點) 通常使用已連結服務帳戶自動佈建到環境中的憑證進行驗證。Cloud KMS 也是如此。請務必在建立執行個體時,為其提供 https://www.googleapis.com/auth/cloudkms (偏好選項,因為它支援最低權限原則) 或 https://www.googleapis.com/auth/cloud-platform OAuth 範圍的存取權。
例如:
gcloud compute instances create "instance-1" \
--zone "us-east1-b" \
--scopes "https://www.googleapis.com/auth/cloudkms"
詳情請參閱 Compute Engine 說明文件或 GKE 說明文件。
App Engine
如何將 Cloud KMS 與 App Engine 搭配使用:
- 授予 App Engine 服務帳戶 (
PROJECT_ID@appspot.gserviceaccount.com) Identity and Access Management 權限,以便管理及/或使用金鑰。 - 使用應用程式預設憑證,並指定範圍
https://www.googleapis.com/auth/cloudkms。您也可以指定範圍https://www.googleapis.com/auth/cloud-platform,但範圍會比 Cloud KMS 更廣泛。
詳情請參閱 App Engine 說明文件中的「存取 API」和「控管存取權」。
用戶端驗證
如果應用程式需要直接驗證使用者,您可以代表使用者取得並使用憑證。詳情請參閱「使用者帳戶」。