Mengenkripsi dan mendekripsi data

AO melakukan operasi enkripsi dan dekripsi melalui CLI dengan air gap Google Distributed Cloud (GDC) ke KMS melalui klien gRPC.

Sebelum memulai

Sebelum melakukan operasi KMS, konfigurasi kubectl untuk mengakses server Management API dan mendapatkan izin yang diperlukan.

Mengonfigurasi akses server Management API

Konfigurasi kubectl untuk mengakses server Management API:

Jika Anda belum melakukannya, dapatkan file kubeconfig untuk server Management API menggunakan antarmuka command-line (CLI) gdcloud.
Tetapkan variabel lingkungan MANAGEMENT_API_SERVER:
```
export MANAGEMENT_API_SERVER=PATH_TO_KUBECONFIG
```
Ganti PATH_TO_KUBECONFIG dengan jalur file kubeconfig yang dihasilkan.
Jika Anda belum melakukannya, download, instal, dan konfigurasi gdcloud CLI. Untuk melakukannya, ikuti ringkasan gcloud CLI.

Izin yang diperlukan

Untuk mendapatkan izin yang Anda perlukan, minta Admin IAM Organisasi Anda untuk memberi Anda peran KMS Developer (kms-developer) di project Anda.

Mengenkripsi data

Untuk mengenkripsi data, gunakan perintah gdcloud kms keys encrypt. Perintah ini mengenkripsi file teks biasa tertentu menggunakan kunci AEAD, dan menuliskannya ke file ciphertext bernama.

Untuk mengenkripsi data, teruskan nama kunci dan hal berikut:
```
gdcloud kms keys encrypt namespaces/NAMESPACE/aeadKeys/KEY_NAME \
  --plaintext-file=PLAINTEXT_PATH \
  --additional-authenticated-data-file=ADDITIONAL_AUTHENTICATED_DATA_FILE \
  --ciphertext-file=CIPHERTEXT_PATH
```
Ganti variabel berikut:
- NAMESPACE: namespace project, misalnya: kms-test1.
- KEY_NAME: nama kunci yang digunakan untuk mengenkripsi teks biasa—misalnya: key-1.
- PLAINTEXT_PATH: jalur ke file yang berisi plaintext yang akan dienkripsi.
- ADDITIONAL_AUTHENTICATED_DATA_FILE: file opsional yang berisi data terautentikasi tambahan (AAD). AAD digunakan untuk pemeriksaan integritas dan melindungi data Anda dari serangan wakil yang bingung. AAD dan teks biasa masing-masing memiliki batas ukuran 64 KB.
- CIPHERTEXT_PATH: jalur ke file yang berisi teks biasa terenkripsi.
Setelah menjalankan perintah, Anda akan melihat file yang ditentukan dalam tanda --ciphertext-file yang berisi konten terenkripsi dari file teks biasa.

Mendekripsi data

Untuk mendekripsi data, gunakan perintah gdcloud kms keys decrypt. Perintah ini mendekripsi file ciphertext tertentu menggunakan kunci AEAD, dan menuliskannya ke file plaintext bernama.

Untuk mendekripsi ciphertext, teruskan nama kunci dan berikut ini:
```
gdcloud kms keys decrypt namespaces/NAMESPACE/aeadKeys/KEY_NAME \
 --ciphertext-file=CIPHERTEXT_PATH \
 --additional-authenticated-data-file=ADDITIONAL_AUTHENTICATED_DATA_FILE \
 --plaintext-file=PLAINTEXT_PATH
```
Ganti variabel berikut:
- NAMESPACE: namespace project.
- KEY_NAME: nama kunci yang digunakan untuk mengenkripsi teks biasa.
- CIPHERTEXT_PATH: jalur file yang ingin Anda dekripsi.
- ADDITIONAL_AUTHENTICATED_DATA_FILE: file opsional yang berisi data terautentikasi tambahan (AAD). AAD digunakan untuk pemeriksaan integritas dan melindungi data Anda dari serangan wakil yang bingung. AAD dan teks biasa masing-masing memiliki batas ukuran 64 KB.
  Catatan: Anda harus menggunakan AAD yang sama yang Anda teruskan selama operasi enkripsi untuk operasi dekripsi.
- PLAINTEXT_PATH: jalur ke file yang berisi teks biasa yang didekripsi.
Setelah menjalankan perintah, Anda akan melihat file yang ditentukan di tanda --plaintext-file yang berisi data yang didekripsi.