Membuat dan menghapus kunci

AO melakukan operasi pengelolaan kunci melalui perintah kubectl untuk mengakses server Management API.

Sebelum memulai

Sebelum melakukan operasi KMS, konfigurasi kubectl untuk mengakses server Management API dan mendapatkan izin yang diperlukan.

Mengonfigurasi akses server Management API

Konfigurasi kubectl untuk mengakses server Management API:

  1. Jika Anda belum melakukannya, dapatkan file kubeconfig untuk server Management API menggunakan antarmuka command-line (CLI) gdcloud.

  2. Tetapkan variabel lingkungan MANAGEMENT_API_SERVER:

    export MANAGEMENT_API_SERVER=PATH_TO_KUBECONFIG

    Ganti PATH_TO_KUBECONFIG dengan jalur file kubeconfig yang dihasilkan.

Izin yang diperlukan

Untuk mendapatkan izin yang Anda perlukan, minta Admin IAM Organisasi Anda untuk memberi Anda peran KMS berikut di project Anda:

  • Untuk membuat dan mencantumkan kunci, minta peran Pembuat KMS (kms-creator).
  • Untuk membuat, mencantumkan, dan menghapus kunci, minta peran Admin KMS (kms-admin).

Buat kunci

Selesaikan langkah-langkah berikut:

  1. Buat kunci di namespace project. Contoh berikut membuat kunci AEAD:

    kubectl --kubeconfig MANAGEMENT_API_SERVER \
apply -f - << EOF
apiVersion: "kms.gdc.goog/v1"
kind: AEADKey
metadata:
  name: KEY_NAME
  namespace: PROJECT
spec:
  algorithm: AES_256_GCM
EOF

    Ganti variabel berikut:

    • MANAGEMENT_API_SERVER: file kubeconfig server Management API. Login dan buat file kubeconfig jika Anda belum memilikinya.
    • KEY_NAME: nama untuk kunci yang ingin Anda buat—misalnya: key-1.
    • PROJECT: nama project—misalnya: kms-test1.

  2. Verifikasi pembuatan kunci:

    kubectl --kubeconfig MANAGEMENT_API_SERVER \
  get aeadkey KEY_NAME \
  --namespace=PROJECT -o yaml

    Jika pembuatan kunci berhasil, Anda akan melihat nilai True di kolom READY.

Menghapus kunci

Selesaikan langkah-langkah berikut:

  1. Hapus kunci di namespace project:

    kubectl --kubeconfig MANAGEMENT_API_SERVER \
  delete KEY_PRIMITIVE KEY_NAME \
  --namespace=PROJECT

    Ganti variabel berikut:

    • MANAGEMENT_API_SERVER: file kubeconfig server Management API. Login dan buat file kubeconfig jika Anda belum memilikinya.
    • KEY_PRIMITIVE: kunci yang ingin Anda hapus, misalnya: aeadkey untuk kunci AEAD.
    • KEY_NAME: nama kunci yang ingin Anda hapus—misalnya: key-1.
    • PROJECT: nama project—misalnya: kms-test1.

  2. Verifikasi penghapusan kunci, dan pastikan Anda tidak melihat kunci tersebut lagi:

    kubectl --kubeconfig MANAGEMENT_API_SERVER \
  get KEY_PRIMITIVE  KEY_NAME \
  --namespace=PROJECT