יצירת מפתחות הצפנה באמצעות Cloud KMS

במדריך המקוצר הזה מוסבר איך ליצור מפתחות הצפנה ולהשתמש בהם באמצעות Cloud Key Management Service בפרויקט שבבעלותכם. בהוראות האלה משתמשים במסוףGoogle Cloud כדי ליצור אוספי מפתחות, מפתחות וגרסאות של מפתחות ב-Cloud KMS. הוראות לשימוש בשיטות אחרות זמינות במאמרים סקירה כללית של Autokey, יצירת מחזיק מפתחות ויצירת מפתח.

במדריך למתחילים הזה משתמשים בשורת הפקודה כדי לשלוח בקשות ל-Cloud KMS API. דוגמאות לתכנות שמשתמשות בספריות הלקוח כדי לשלוח בקשות ל-Cloud KMS API מופיעות במאמר הצפנה ופענוח.

לפני שמתחילים

  1. נכנסים לחשבון Google Cloud . אם אתם משתמשים חדשים ב- Google Cloud, צרו חשבון כדי שתוכלו להעריך את הביצועים של המוצרים שלנו בתרחישים מהעולם האמיתי. לקוחות חדשים מקבלים בחינם גם קרדיט בשווי 300$ להרצה, לבדיקה ולפריסה של עומסי העבודה.

  2. התקינו את ה-CLI של Google Cloud.

  3. אם אתם משתמשים בספק זהויות חיצוני (IdP), קודם אתם צריכים להיכנס ל-CLI של gcloud באמצעות המאגר המאוחד לניהול זהויות.

  4. כדי לאתחל את ה-CLI של gcloud, הריצו את הפקודה הבאה: 

    gcloud init

  5. יוצרים או בוחרים Google Cloud פרויקט.

    תפקידים שנדרשים כדי לבחור או ליצור פרויקט

    • Select a project: כדי לבחור פרויקט לא צריך תפקיד IAM ספציפי – אפשר לבחור כל פרויקט שקיבלתם בו תפקיד.
    • יצירת פרויקט: כדי ליצור פרויקט, צריך את התפקיד Project Creator (יצירת פרויקטים) (roles/resourcemanager.projectCreator), שכולל את ההרשאה resourcemanager.projects.create. איך מקצים תפקידים

    • יוצרים Google Cloud פרויקט:

      gcloud projects create PROJECT_ID

      מחליפים את PROJECT_ID בשם של פרויקט Google Cloud שיוצרים.

    • בוחרים את הפרויקט שיצרתם: Google Cloud 

      gcloud config set project PROJECT_ID

      מחליפים את PROJECT_ID בשם הפרויקט ב- Google Cloud .

  6. מוודאים שהחיוב מופעל בפרויקט Google Cloud .

  7. מפעילים את Cloud KMS API:

    תפקידים שנדרשים להפעלת ממשקי API

    כדי להפעיל ממשקי API, צריך את תפקיד ה-IAM 'אדמין של Service Usage' (roles/serviceusage.serviceUsageAdmin), שכולל את ההרשאה serviceusage.services.enable. איך מקצים תפקידים 

    gcloud services enable cloudkms.googleapis.com

  8. מעניקים תפקידים לחשבון המשתמש. מריצים את הפקודה הבאה לכל אחד מהתפקידים הבאים ב-IAM: roles/cloudkms.admin, roles/cloudkms.cryptoKeyEncrypterDecrypter 

    gcloud projects add-iam-policy-binding PROJECT_ID --member="user:USER_IDENTIFIER" --role=ROLE

    מחליפים את מה שכתוב בשדות הבאים:

    • PROJECT_ID: מזהה הפרויקט.
    • USER_IDENTIFIER: המזהה של חשבון המשתמש . לדוגמה, myemail@example.com.
    • ROLE: תפקיד ה-IAM שאתם מקצים לחשבון המשתמש.

  9. התקינו את ה-CLI של Google Cloud.

  10. אם אתם משתמשים בספק זהויות חיצוני (IdP), קודם אתם צריכים להיכנס ל-CLI של gcloud באמצעות המאגר המאוחד לניהול זהויות.

  11. כדי לאתחל את ה-CLI של gcloud, הריצו את הפקודה הבאה: 

    gcloud init

  12. יוצרים או בוחרים Google Cloud פרויקט.

    תפקידים שנדרשים כדי לבחור או ליצור פרויקט

    • Select a project: כדי לבחור פרויקט לא צריך תפקיד IAM ספציפי – אפשר לבחור כל פרויקט שקיבלתם בו תפקיד.
    • יצירת פרויקט: כדי ליצור פרויקט, צריך את התפקיד Project Creator (יצירת פרויקטים) (roles/resourcemanager.projectCreator), שכולל את ההרשאה resourcemanager.projects.create. איך מקצים תפקידים

    • יוצרים Google Cloud פרויקט:

      gcloud projects create PROJECT_ID

      מחליפים את PROJECT_ID בשם של פרויקט Google Cloud שיוצרים.

    • בוחרים את הפרויקט שיצרתם: Google Cloud 

      gcloud config set project PROJECT_ID

      מחליפים את PROJECT_ID בשם הפרויקט ב- Google Cloud .

  13. מוודאים שהחיוב מופעל בפרויקט Google Cloud .

  14. מפעילים את Cloud KMS API:

    תפקידים שנדרשים להפעלת ממשקי API

    כדי להפעיל ממשקי API, צריך את תפקיד ה-IAM 'אדמין של Service Usage' (roles/serviceusage.serviceUsageAdmin), שכולל את ההרשאה serviceusage.services.enable. איך מקצים תפקידים 

    gcloud services enable cloudkms.googleapis.com

  15. מעניקים תפקידים לחשבון המשתמש. מריצים את הפקודה הבאה לכל אחד מהתפקידים הבאים ב-IAM: roles/cloudkms.admin, roles/cloudkms.cryptoKeyEncrypterDecrypter 

    gcloud projects add-iam-policy-binding PROJECT_ID --member="user:USER_IDENTIFIER" --role=ROLE

    מחליפים את מה שכתוב בשדות הבאים:

    • PROJECT_ID: מזהה הפרויקט.
    • USER_IDENTIFIER: המזהה של חשבון המשתמש . לדוגמה, myemail@example.com.
    • ROLE: תפקיד ה-IAM שאתם מקצים לחשבון המשתמש.
    16.

אוספי מפתחות ומפתחות

כדי להצפין ולפענח תוכן, תצטרכו מפתח Cloud KMS, שהוא חלק מאוסף מפתחות.

יוצרים אוסף מפתחות בשם test ומפתח בשם quickstart. מידע נוסף על האובייקטים האלה ועל הקשר ביניהם זמין במאמר סקירה כללית על היררכיית האובייקטים.

gcloud kms keyrings create "test" \
    --location "global"
gcloud kms keys create "quickstart" \
    --location "global" \
    --keyring "test" \
    --purpose "encryption"

אפשר להשתמש באפשרות list כדי להציג את השם והמטא-נתונים של המפתח שזה עתה יצרתם.

gcloud kms keys list \
    --location "global" \
    --keyring "test"

הפרטים שמוצגים הם:

NAME                                                                      PURPOSE          PRIMARY_STATE
projects/PROJECT_ID/locations/global/keyRings/test/cryptoKeys/quickstart  ENCRYPT_DECRYPT  ENABLED

הצפנת נתונים

עכשיו, כשיש לכם מפתח, אתם יכולים להשתמש בו כדי להצפין טקסט או תוכן בינארי.

מאחסנים טקסט מסוים שצריך להצפין בקובץ בשם mysecret.txt.

echo -n "Some text to be encrypted" > mysecret.txt

כדי להצפין את הנתונים באמצעות gcloud kms encrypt, צריך לספק את פרטי המפתח, לציין את שם הקובץ של הטקסט הפשוט שרוצים להצפין ולציין את שם הקובץ שיכיל את התוכן המוצפן:

gcloud kms encrypt \
    --location "global" \
    --keyring "test" \
    --key "quickstart" \
    --plaintext-file ./mysecret.txt \
    --ciphertext-file ./mysecret.txt.encrypted

בשיטה encrypt, התוכן המוצפן נשמר בקובץ שצוין באמצעות הדגל --ciphertext-file.

פענוח טקסט מוצפן

כדי לפענח את הנתונים באמצעות gcloud kms decrypt, צריך לספק את פרטי המפתח, לציין את שם הקובץ המוצפן (קובץ טקסט מוצפן) שרוצים לפענח ולציין את שם הקובץ שיכיל את התוכן המפוענח:

gcloud kms decrypt \
    --location "global" \
    --keyring "test" \
    --key "quickstart" \
    --ciphertext-file ./mysecret.txt.encrypted \
    --plaintext-file ./mysecret.txt.decrypted

השיטה decrypt שומרת את התוכן המפוענח בקובץ שצוין באמצעות הדגל --plaintext-file.

כדי לפענח תוכן מוצפן, צריך להשתמש באותו מפתח ששימש להצפנת התוכן.

הסרת המשאבים

כדי לא לצבור חיובים בחשבון על המשאבים שבהם השתמשתם בדף הזה, אתם צריכים למחוק את הפרויקט יחד עם המשאבים. Google Cloud Google Cloud

מציגים את הגרסאות שזמינות למפתח:

gcloud kms keys versions list \
    --location "global" \
    --keyring "test" \
    --key "quickstart"

כדי להשמיד גרסה, מריצים את הפקודה הבאה, כאשר 1 הוא מספר הגרסה של המפתח שרוצים להשמיד:

gcloud kms keys versions destroy 1 \
    --location "global" \
    --keyring "test" \
    --key "quickstart"

המאמרים הבאים