O AO realiza operações de criptografia e descriptografia usando a CLI isolada do Google Distributed Cloud (GDC) para o KMS por um cliente gRPC.
Antes de começar
Antes de realizar operações criptográficas, faça o download, instale e configure a CLI gdcloud para acessar o servidor da API Management. Para fazer isso, siga a visão geral da CLI gdcloud.
Para receber as permissões necessárias para realizar operações criptográficas, peça ao administrador do IAM da organização para conceder a você o papel de desenvolvedor do KMS (kms-developer).
Criptografar dados
Para criptografar dados, use o comando gdcloud kms keys encrypt. Esse comando criptografa um arquivo de texto simples usando a chave AEAD e o grava em um arquivo de texto cifrado nomeado.
Para criptografar dados, transmita o nome da chave e o seguinte:
gdcloud kms keys encrypt namespaces/NAMESPACE/aeadKeys/KEY_NAME \ --plaintext-file=PLAINTEXT_PATH \ --additional-authenticated-data-file=ADDITIONAL_AUTHENTICATED_DATA_FILE \ --ciphertext-file=CIPHERTEXT_PATHSubstitua as seguintes variáveis:
- NAMESPACE: o namespace do projeto, por exemplo:
kms-test1. - KEY_NAME: o nome da chave usada para criptografar o
texto simples, por exemplo,
key-1. - PLAINTEXT_PATH: o caminho para o arquivo que contém o texto simples a ser criptografado.
- ADDITIONAL_AUTHENTICATED_DATA_FILE: um arquivo opcional que contém dados autenticados adicionais (AAD, na sigla em inglês). O AAD é usado para verificações de integridade e protege seus dados contra um ataque confused deputy. O AAD e o texto simples têm um limite de tamanho de 64 KB.
- CIPHERTEXT_PATH: o caminho para o arquivo que contém o texto simples criptografado.
Depois de executar o comando, você vai ver um arquivo especificado na flag
--ciphertext-fileque contém o conteúdo criptografado do arquivo de texto simples.- NAMESPACE: o namespace do projeto, por exemplo:
Descriptografar dados
Para descriptografar dados, use o comando gdcloud kms keys decrypt. Esse comando descriptografa um
arquivo de texto criptografado usando a chave AEAD e o grava em um arquivo de texto
simples nomeado.
Para descriptografar o texto cifrado, transmita o nome da chave e o seguinte:
gdcloud kms keys decrypt namespaces/NAMESPACE/aeadKeys/KEY_NAME \ --ciphertext-file=CIPHERTEXT_PATH \ --additional-authenticated-data-file=ADDITIONAL_AUTHENTICATED_DATA_FILE \ --plaintext-file=PLAINTEXT_PATHSubstitua as seguintes variáveis:
- NAMESPACE: o namespace do projeto.
- KEY_NAME: o nome da chave usada para criptografar o texto simples.
- CIPHERTEXT_PATH: o caminho do arquivo que você quer descriptografar.
- ADDITIONAL_AUTHENTICATED_DATA_FILE: um arquivo opcional que contém dados autenticados adicionais (AAD, na sigla em inglês). O AAD é usado para verificações de integridade e protege seus dados contra um ataque confused deputy. O AAD e o texto simples têm um limite de tamanho de 64 KB.
- PLAINTEXT_PATH: o caminho para o arquivo que contém o texto simples descriptografado.
Depois de executar o comando, você vai encontrar um arquivo especificado na flag
--plaintext-fileque contém os dados descriptografados.