גישה ל-API

מומלץ לגשת אל Cloud Key Management Service באמצעות ספריות הלקוח של Google API, שמספקות ביצועים גבוהים. הספריות האלה, שמתחברות ל-Cloud KMS gRPC API, זמינות בכמה שפות תכנות פופולריות.

אפשר גם לגשת ל-Cloud KMS באמצעות REST API. לכן, כל שפה שתומכת בשליחת בקשות HTTP יכולה לגשת ל-API. עם זאת, רוב המשתמשים יעדיפו ספריית לקוח עם ניבים מקומיים.

יש גם ממשק מבוסס-אינטרנט ל-Cloud KMS ב Google Cloud מסוף, שמאפשר לבצע פעולות של ניהול מפתחות. אי אפשר לבצע פעולות הצפנה ופענוח מממשק האינטרנט.

אנחנו רוצים שיהיה קל לגשת ל-Cloud KMS מכל שפה ומכל פלטפורמה, ונמשיך לעבוד על זה. אם יש משהו שלא עמדנו בו, נשמח לשמוע על כך.

פלטפורמות

האופן שבו לקוחות ניגשים ל-API עשוי להשתנות מעט בהתאם לפלטפורמה שבה הקוד פועל, במיוחד בכל הנוגע לאימות. Google Application Default Credentials מסתירים הרבה מההבדלים, אבל יש כמה דברים שחשוב לזכור. מידע נוסף על אימות מופיע בסקירה הכללית על אימות.

‫Compute Engine ו-Google Kubernetes Engine

בדרך כלל, תוכנה שפועלת ב-Compute Engine, כולל צמתים של Google Kubernetes Engine, עוברת אימות באמצעות פרטי כניסה שמוקצים אוטומטית לסביבה באמצעות חשבון השירות המצורף. הדבר נכון גם לגבי Cloud KMS. כשיוצרים מופע, צריך לוודא שמעניקים לו גישה להיקף OAuth https://www.googleapis.com/auth/cloudkms(מומלץ כי הוא תומך בעיקרון של הרשאות מינימליות) או https://www.googleapis.com/auth/cloud-platform.

לדוגמה:

gcloud compute instances create "instance-1" \
    --zone "us-east1-b" \
    --scopes "https://www.googleapis.com/auth/cloudkms"

מידע נוסף זמין במאמרי העזרה של Compute Engine או במאמרי העזרה של GKE.

App Engine

כדי להשתמש ב-Cloud KMS עם App Engine:

  1. נותנים לחשבון השירות של App Engine ‏(PROJECT_ID@appspot.gserviceaccount.com) הרשאות לניהול זהויות והרשאות גישה כדי לנהל את המפתחות או להשתמש בהם.
  2. משתמשים בApplication Default Credentials ומציינים את היקף ההרשאות https://www.googleapis.com/auth/cloudkms. אפשר גם לציין את ההיקף https://www.googleapis.com/auth/cloud-platform, אבל הוא כולל היקפים רחבים יותר מאשר רק Cloud KMS.

מידע נוסף זמין במאמרים גישה ל-API ובקרת גישה במסמכי התיעוד של App Engine.

אימות לקוח

אם האפליקציה שלכם צריכה לאמת את המשתמשים ישירות, אתם יכולים לקבל פרטי כניסה ולהשתמש בהם בשמם. מידע נוסף זמין במאמר בנושא חשבונות משתמשים.