Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Criptografar e descriptografar dados

Este documento descreve como criptografar e descriptografar dados usando chaves do Key Management System (KMS) com a CLI gdcloud.

Este documento é destinado a públicos-alvo do grupo de operadores de aplicativos que precisam realizar operações criptográficas em projetos do GDC. Para mais informações, consulte Públicos-alvo da documentação do GDC com isolamento físico.

Antes de começar

Antes de criptografar ou descriptografar dados, você precisa ter as permissões necessárias e preparar o ambiente.

Solicitar papéis do IAM

Para criptografar e descriptografar dados, entre em contato com o admin do IAM da organização para solicitar o papel de desenvolvedor do KMS (kms-developer) no namespace do projeto.

Preparar o ambiente

Faça o download e a instalação da CLI gdcloud, caso ainda não tenha feito isso.
Faça login na CLI gdcloud.

Criptografar dados

Para criptografar dados, use o comando gdcloud kms keys encrypt. Esse comando criptografa um arquivo de texto simples usando a chave AEAD e o grava em um arquivo de texto cifrado nomeado.

Para criptografar dados, transmita o nome da chave e o seguinte:
```
gdcloud kms keys encrypt namespaces/NAMESPACE/aeadKeys/KEY_NAME \
  --plaintext-file=PLAINTEXT_PATH \
  --additional-authenticated-data-file=ADDITIONAL_AUTHENTICATED_DATA_FILE \
  --ciphertext-file=CIPHERTEXT_PATH
```
Substitua as seguintes variáveis:
- NAMESPACE: o namespace do projeto, por exemplo, kms-test1.
- KEY_NAME: o nome da chave usada para criptografar o texto simples, por exemplo, key-1.
- PLAINTEXT_PATH: o caminho para o arquivo que contém o texto simples a ser criptografado.
- ADDITIONAL_AUTHENTICATED_DATA_FILE: um arquivo opcional que contém dados autenticados adicionais (AAD). O AAD é usado para verificações de integridade e protege seus dados contra um ataque confused deputy (em inglês). O AAD e o texto simples têm um limite de tamanho de 64 KB.
- CIPHERTEXT_PATH: o caminho para o arquivo que contém o texto simples criptografado.
Depois de executar o comando, você verá um arquivo especificado na flag --ciphertext-file que contém o conteúdo criptografado do arquivo de texto simples.

Descriptografar dados

Para descriptografar dados, use o comando gdcloud kms keys decrypt. Esse comando descriptografa um arquivo de texto cifrado usando a chave AEAD e o grava em um arquivo de texto simples nomeado.

Para descriptografar o texto cifrado, transmita o nome da chave e o seguinte:
```
gdcloud kms keys decrypt namespaces/NAMESPACE/aeadKeys/KEY_NAME \
 --ciphertext-file=CIPHERTEXT_PATH \
 --additional-authenticated-data-file=ADDITIONAL_AUTHENTICATED_DATA_FILE \
 --plaintext-file=PLAINTEXT_PATH
```
Substitua as seguintes variáveis:
- NAMESPACE: o namespace do projeto.
- KEY_NAME: o nome da chave usada para criptografar o texto simples.
- CIPHERTEXT_PATH: o caminho do arquivo que você quer descriptografar.
- ADDITIONAL_AUTHENTICATED_DATA_FILE: um arquivo opcional que contém dados autenticados adicionais (AAD). O AAD é usado para verificações de integridade e protege seus dados contra um ataque confused deputy (em inglês). O AAD e o texto simples têm um limite de tamanho de 64 KB.
  Observação: você precisa usar o mesmo AAD transmitido durante a operação de criptografia para a operação de descriptografia.
- PLAINTEXT_PATH: o caminho para o arquivo que contém o texto simples descriptografado.
Depois de executar o comando, você verá um arquivo especificado na flag --plaintext-file que contém os dados descriptografados.