Questa pagina mostra come creare una chiave in Cloud KMS. Una chiave può essere una chiave di crittografia simmetrica o asimmetrica, una chiave di firma asimmetrica o una chiave di firma MAC.
Quando crei una chiave, la aggiungi a un keyring in una località Cloud KMS specifica. Puoi creare un nuovo keyring o utilizzarne uno esistente. In questa pagina generi una nuova chiave Cloud KMS o Cloud HSM e la aggiungi a un keyring esistente. Per creare una chiave Cloud EKM, consulta Creare una chiave esterna. Per importare una chiave Cloud KMS o Cloud HSM, vedi Importare una chiave.
Prima di iniziare
Prima di completare le attività in questa pagina, ti occorre quanto segue:
- Una risorsa di progetto Google Cloud che contenga le tue risorse Cloud KMS. Ti consigliamo di utilizzare un progetto separato per le risorse Cloud KMS che non contiene altre risorse Google Cloud.
- Il nome e la posizione del keyring in cui vuoi creare la chiave. Scegli un keyring in una posizione vicina alle altre risorse e che supporti il livello di protezione desiderato. Per visualizzare le località disponibili e i livelli di protezione supportati, vedi Località di Cloud KMS. Per creare un keyring, consulta Creazione di un keyring.
- (Facoltativo) Per utilizzare gcloud CLI, prepara l'ambiente.
Interfaccia a riga di comando gcloud
Nella console Google Cloud, attiva Cloud Shell.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per creare le chiavi, chiedi all'amministratore di concederti il ruolo IAM Amministratore Cloud KMS (roles/cloudkms.admin
) per il progetto o una risorsa padre.
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.
Questo ruolo predefinito contiene le autorizzazioni necessarie per creare chiavi. Per visualizzare le autorizzazioni esatte necessarie, espandi la sezione Autorizzazioni richieste:
Autorizzazioni obbligatorie
Per creare chiavi sono necessarie le seguenti autorizzazioni:
-
cloudkms.cryptoKeys.create
-
cloudkms.cryptoKeys.get
-
cloudkms.cryptoKeys.list
-
cloudkms.cryptoKeyVersions.create
-
cloudkms.cryptoKeyVersions.get
-
cloudkms.cryptoKeyVersions.list
-
cloudkms.keyRings.get
-
cloudkms.keyRings.list
-
cloudkms.locations.get
-
cloudkms.locations.list
-
resourcemanager.projects.get
-
Per recuperare una chiave pubblica:
cloudkms.cryptoKeyVersions.viewPublicKey
Potresti anche essere in grado di ottenere queste autorizzazioni con i ruoli personalizzati o altri ruoli predefiniti.
Crea una chiave di crittografia simmetrica
Console
Nella console Google Cloud, vai alla pagina Gestione delle chiavi.
Fai clic sul nome del keyring per cui creerai una chiave.
Fai clic su Crea chiave.
In Nome chiave, inserisci un nome per la chiave.
In Livello di protezione, seleziona Software o HSM.
In Materiale della chiave, seleziona Chiave generata.
Per Finalità, seleziona Crittografia/decrittografia simmetrica.
Accetta i valori predefiniti per Periodo di rotazione e Inizio del.
Fai clic su Crea.
gcloud
Per utilizzare Cloud KMS nella riga di comando, devi prima installare o eseguire l'upgrade alla versione più recente di Google Cloud CLI.
gcloud kms keys create KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --purpose "encryption" \ --protection-level "PROTECTION_LEVEL"
Sostituisci quanto segue:
KEY_NAME
: il nome della chiave.KEY_RING
: il nome del keyring che contiene la chiave.LOCATION
: la località Cloud KMS del keyring.PROTECTION_LEVEL
: il livello di protezione da utilizzare per la chiave, ad esempiosoftware
ohsm
. Puoi omettere il flag--protection-level
per le chiavisoftware
.
Per informazioni su tutti i flag e i possibili valori, esegui il comando con il flag --help
.
C#
Per eseguire questo codice, prima configura un ambiente di sviluppo C# e installa l'SDK C# di Cloud KMS.
Go
Per eseguire questo codice, prima configura un ambiente di sviluppo Go e installa l'SDK Cloud KMS Go.
Java
Per eseguire questo codice, prima configura un ambiente di sviluppo Java e installa l'SDK Java di Cloud KMS.
Node.js
Per eseguire questo codice, prima configura un ambiente di sviluppo Node.js e installa l'SDK Node.js di Cloud KMS.
PHP
Per eseguire questo codice, scopri innanzitutto come utilizzare PHP su Google Cloud e installare l'SDK PHP di Cloud KMS.
Python
Per eseguire questo codice, prima configura un ambiente di sviluppo Python e installa l'SDK Python di Cloud KMS.
Ruby
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Ruby e poi installare l'SDK Ruby di Cloud KMS.
API
In questi esempi viene utilizzato curl come client HTTP per dimostrare l'utilizzo dell'API. Per maggiori informazioni sul controllo dell'accesso, consulta Accesso all'API Cloud KMS.
Per creare una chiave, utilizza il metodo CryptoKey.create
:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys?crypto_key_id=KEY_NAME" \ --request "POST" \ --header "authorization: Bearer TOKEN" \ --header "content-type: application/json" \ --data '{"purpose": "ENCRYPT_DECRYPT", "versionTemplate": { "protectionLevel": "PROTECTION_LEVEL", "algorithm": "ALGORITHM" }}'
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto che contiene il keyring.LOCATION
: la località Cloud KMS del keyring.KEY_RING
: il nome del keyring che contiene la chiave.KEY_NAME
: il nome della chiave.PROTECTION_LEVEL
: livello di protezione della chiave, ad esempioSOFTWARE
oHSM
.ALGORITHM
: l'algoritmo di firma HMAC, ad esempioHMAC_SHA256
. Per visualizzare tutti gli algoritmi HMAC supportati, consulta Algoritmi di firma HMAC.
Crea una chiave di crittografia simmetrica con rotazione automatica personalizzata
Quando crei una chiave, puoi specificare il relativo periodo di rotazione, ovvero il periodo di tempo che intercorre tra la creazione automatica delle nuove versioni della chiave. Puoi anche specificare in modo indipendente la data e l'ora di rotazione successiva, in modo che la rotazione successiva avvenga prima o dopo un periodo di rotazione a partire da ora.
Console
Quando utilizzi la console Google Cloud per creare una chiave, Cloud KMS imposta automaticamente il periodo di rotazione e la data/ora di rotazione successiva. Puoi scegliere di usare i valori predefiniti o specificare valori diversi.
Per specificare un periodo di rotazione e un'ora di inizio diversi, durante la creazione della chiave, ma prima di fare clic sul pulsante Crea:
Per Periodo di rotazione della chiave, seleziona un'opzione.
In A partire dal giorno, seleziona la data in cui vuoi che venga effettuata la prima rotazione automatica. Puoi lasciare il valore predefinito di A partire da per avviare la prima rotazione automatica di un periodo di rotazione della chiave a partire dalla creazione della chiave.
gcloud
Per utilizzare Cloud KMS nella riga di comando, devi prima installare o eseguire l'upgrade alla versione più recente di Google Cloud CLI.
gcloud kms keys create KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --purpose "encryption" \ --rotation-period ROTATION_PERIOD \ --next-rotation-time NEXT_ROTATION_TIME
Sostituisci quanto segue:
KEY_NAME
: il nome della chiave.KEY_RING
: il nome del keyring che contiene la chiave.LOCATION
: la località Cloud KMS del keyring.ROTATION_PERIOD
: l'intervallo di rotazione della chiave, ad esempio30d
per ruotare la chiave ogni 30 giorni. Il periodo di rotazione deve essere di almeno 1 giorno e al massimo 100 anni. Per ulteriori informazioni, consulta CryptoKey.rotationPeriod.NEXT_ROTATION_TIME
: il timestamp in corrispondenza del quale completare la prima rotazione, ad esempio"2023-01-01T01:02:03"
. Puoi omettere--next-rotation-time
per pianificare la prima rotazione per 7 giorni dall'esecuzione del comando. Per ulteriori informazioni, consulta CryptoKey.nextRotationTime.
Per informazioni su tutti i flag e i possibili valori, esegui il comando con il flag --help
.
C#
Per eseguire questo codice, prima configura un ambiente di sviluppo C# e installa l'SDK C# di Cloud KMS.
Go
Per eseguire questo codice, prima configura un ambiente di sviluppo Go e installa l'SDK Cloud KMS Go.
Java
Per eseguire questo codice, prima configura un ambiente di sviluppo Java e installa l'SDK Java di Cloud KMS.
Node.js
Per eseguire questo codice, prima configura un ambiente di sviluppo Node.js e installa l'SDK Node.js di Cloud KMS.
PHP
Per eseguire questo codice, scopri innanzitutto come utilizzare PHP su Google Cloud e installare l'SDK PHP di Cloud KMS.
Python
Per eseguire questo codice, prima configura un ambiente di sviluppo Python e installa l'SDK Python di Cloud KMS.
Ruby
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Ruby e poi installare l'SDK Ruby di Cloud KMS.
API
In questi esempi viene utilizzato curl come client HTTP per dimostrare l'utilizzo dell'API. Per maggiori informazioni sul controllo dell'accesso, consulta Accesso all'API Cloud KMS.
Per creare una chiave, utilizza il metodo CryptoKey.create
:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys?crypto_key_id=KEY_NAME" \ --request "POST" \ --header "authorization: Bearer TOKEN" \ --header "content-type: application/json" \ --data '{"purpose": "PURPOSE", "rotationPeriod": "ROTATION_PERIOD", "nextRotationTime": "NEXT_ROTATION_TIME"}'
Sostituisci quanto segue:
PURPOSE
: lo scopo della chiave.ROTATION_PERIOD
: l'intervallo di rotazione della chiave, ad esempio30d
per ruotare la chiave ogni 30 giorni. Il periodo di rotazione deve essere di almeno 1 giorno e al massimo 100 anni. Per ulteriori informazioni, consulta CryptoKey.rotationPeriod.NEXT_ROTATION_TIME
: il timestamp in corrispondenza del quale completare la prima rotazione, ad esempio"2023-01-01T01:02:03"
. Puoi omettere--next-rotation-time
per pianificare la prima rotazione per 7 giorni dall'esecuzione del comando. Per ulteriori informazioni, consulta CryptoKey.nextRotationTime.
Imposta la durata dello stato "pianificata per l'eliminazione"
Per impostazione predefinita, le versioni della chiave in Cloud KMS trascorrono 24 ore in stato di eliminazione pianificata (DESTROY_SCHEDULED
) prima di essere eliminate. Lo stato pianificato per l'eliminazione è talvolta denominato stato eliminato temporaneamente. Il periodo di tempo per cui le versioni della chiave rimangono in questo stato è configurabile in base ai seguenti vincoli:
- Puoi impostare la durata solo durante la creazione della chiave.
- Una volta specificata, la durata della chiave non può più essere modificata.
- La durata viene applicata a tutte le versioni della chiave creata in futuro.
- La durata minima è di 24 ore per tutte le chiavi, ad eccezione delle chiavi di sola importazione che hanno una durata minima di 0.
- La durata massima è di 120 giorni.
- La durata predefinita è 24 ore.
La tua organizzazione potrebbe avere un valore minimo pianificato per la durata dell'eliminazione definito dai criteri dell'organizzazione. Per ulteriori informazioni, consulta Controllare l'eliminazione delle chiavi.
Per creare una chiave che utilizza una durata personalizzata per lo stato Eliminazione pianificata, segui questi passaggi:
Console
Nella console Google Cloud, vai alla pagina Gestione delle chiavi.
Fai clic sul nome del keyring per cui creerai una chiave.
Fai clic su Crea chiave.
Configura le impostazioni della chiave per la tua applicazione.
Fai clic su Impostazioni aggiuntive.
In Durata dello stato "pianificata per l'eliminazione", scegli il numero di giorni in cui la chiave rimarrà pianificata per l'eliminazione prima di essere eliminata definitivamente.
Fai clic su Crea chiave.
gcloud
Per utilizzare Cloud KMS nella riga di comando, devi prima installare o eseguire l'upgrade alla versione più recente di Google Cloud CLI.
gcloud kms keys create KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --purpose PURPOSE \ --destroy-scheduled-duration DURATION
Sostituisci quanto segue:
KEY_NAME
: il nome della chiave.KEY_RING
: il nome del keyring che contiene la chiave.LOCATION
: la località Cloud KMS del keyring.PURPOSE
: lo scopo della chiave, ad esempioencryption
.DURATION
: per quanto tempo la chiave deve rimanere nello stato pianificata per l'eliminazione prima di essere eliminata definitivamente.
Per informazioni su tutti i flag e i possibili valori, esegui il comando con il flag --help
.
Ti consigliamo di utilizzare la durata predefinita di 24 ore per tutte le chiavi, a meno che tu non abbia requisiti specifici dell'applicazione o normativi che richiedono un valore diverso.
Crea una chiave asimmetrica
Creazione di una chiave di decriptazione asimmetrica
Segui questi passaggi per creare una chiave di decrittografia asimmetrica nel keyring e nella località specificati. Questi esempi possono essere adattati per specificare un algoritmo o livello di protezione diverso. Per ulteriori informazioni e valori alternativi, consulta le pagine Algoritmi e Livelli di protezione.
Quando crei la chiave per la prima volta, la versione iniziale della chiave presenta lo stato In attesa di generazione. Quando lo stato cambia in Attivato, puoi utilizzare la chiave. Per scoprire di più sugli stati delle versioni della chiave, consulta Stati delle versioni della chiave.
Console
Nella console Google Cloud, vai alla pagina Gestione delle chiavi.
Fai clic sul nome del keyring per cui creerai una chiave.
Fai clic su Crea chiave.
In Nome chiave, inserisci un nome per la chiave.
In Livello di protezione, seleziona Software o HSM.
In Materiale della chiave, seleziona Chiave generata.
Per Finalità, seleziona Decriptazione asimmetrica.
Per Algoritmo, seleziona 3072 bit RSA - OAEP Padding - SHA256 Digest. Puoi modificare questo valore nelle versioni future della chiave.
Fai clic su Crea.
gcloud
Per utilizzare Cloud KMS nella riga di comando, devi prima installare o eseguire l'upgrade alla versione più recente di Google Cloud CLI.
gcloud kms keys create KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --purpose "asymmetric-encryption" \ --default-algorithm "ALGORITHM"
Sostituisci quanto segue:
KEY_NAME
: il nome della chiave.KEY_RING
: il nome del keyring che contiene la chiave.LOCATION
: la località Cloud KMS del keyring.ALGORITHM
: l'algoritmo da utilizzare per la chiave, ad esempiorsa-decrypt-oaep-3072-sha256
. Per un elenco degli algoritmi di crittografia asimmetrica supportati, consulta Algoritmi di crittografia asimmetrica.
Per informazioni su tutti i flag e i possibili valori, esegui il comando con il flag --help
.
C#
Per eseguire questo codice, prima configura un ambiente di sviluppo C# e installa l'SDK C# di Cloud KMS.
Go
Per eseguire questo codice, prima configura un ambiente di sviluppo Go e installa l'SDK Cloud KMS Go.
Java
Per eseguire questo codice, prima configura un ambiente di sviluppo Java e installa l'SDK Java di Cloud KMS.
Node.js
Per eseguire questo codice, prima configura un ambiente di sviluppo Node.js e installa l'SDK Node.js di Cloud KMS.
PHP
Per eseguire questo codice, scopri innanzitutto come utilizzare PHP su Google Cloud e installare l'SDK PHP di Cloud KMS.
Python
Per eseguire questo codice, prima configura un ambiente di sviluppo Python e installa l'SDK Python di Cloud KMS.
Ruby
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Ruby e poi installare l'SDK Ruby di Cloud KMS.
API
In questi esempi viene utilizzato curl come client HTTP per dimostrare l'utilizzo dell'API. Per maggiori informazioni sul controllo dell'accesso, consulta Accesso all'API Cloud KMS.
Crea una chiave di decrittografia asimmetrica chiamando
CryptoKey.create
.
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys?crypto_key_id=KEY_NAME" \ --request "POST" \ --header "authorization: Bearer TOKEN" \ --header "content-type: application/json" \ --data '{"purpose": "ASYMMETRIC_DECRYPT", "versionTemplate": {"algorithm": "ALGORITHM"}}'
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto che contiene il keyring.LOCATION
: la località Cloud KMS del keyring.KEY_RING
: il nome del keyring che contiene la chiave.KEY_NAME
: il nome della chiave.ALGORITHM
: l'algoritmo da utilizzare per la chiave, ad esempioRSA_DECRYPT_OAEP_3072_SHA256
. Per un elenco degli algoritmi di crittografia asimmetrici supportati, consulta Algoritmi di crittografia asimmetrica.
Creazione di una chiave di firma asimmetrica
Segui questi passaggi per creare una chiave di firma asimmetrica nel keyring e nella località specificati. Questi esempi possono essere adattati per specificare un algoritmo o livello di protezione diverso. Per ulteriori informazioni e valori alternativi, consulta le pagine Algoritmi e Livelli di protezione.
Quando crei la chiave per la prima volta, la versione iniziale della chiave presenta lo stato In attesa di generazione. Quando lo stato cambia in Attivato, puoi utilizzare la chiave. Per scoprire di più sugli stati delle versioni della chiave, consulta Stati delle versioni della chiave.
Console
Nella console Google Cloud, vai alla pagina Gestione delle chiavi.
Fai clic sul nome del keyring per cui creerai una chiave.
Fai clic su Crea chiave.
In Nome chiave, inserisci un nome per la chiave.
In Livello di protezione, seleziona Software o HSM.
In Materiale della chiave, seleziona Chiave generata.
Per Finalità, seleziona Segno asimmetrico.
Per Algoritmo, seleziona Elliptic Curve P-256 - SHA256 Digest. Puoi modificare questo valore nelle versioni future della chiave.
Fai clic su Crea.
gcloud
Per utilizzare Cloud KMS nella riga di comando, devi prima installare o eseguire l'upgrade alla versione più recente di Google Cloud CLI.
gcloud kms keys create KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --purpose "asymmetric-signing" \ --default-algorithm "ALGORITHM"
Sostituisci quanto segue:
KEY_NAME
: il nome della chiave.KEY_RING
: il nome del keyring che contiene la chiave.LOCATION
: la località Cloud KMS del keyring.ALGORITHM
: l'algoritmo da utilizzare per la chiave, ad esempioec-sign-p256-sha256
. Per un elenco degli algoritmi supportati, consulta la pagina relativa agli algoritmi di firma asimmetrica.
Per informazioni su tutti i flag e i possibili valori, esegui il comando con il flag --help
.
C#
Per eseguire questo codice, prima configura un ambiente di sviluppo C# e installa l'SDK C# di Cloud KMS.
Go
Per eseguire questo codice, prima configura un ambiente di sviluppo Go e installa l'SDK Cloud KMS Go.
Java
Per eseguire questo codice, prima configura un ambiente di sviluppo Java e installa l'SDK Java di Cloud KMS.
Node.js
Per eseguire questo codice, prima configura un ambiente di sviluppo Node.js e installa l'SDK Node.js di Cloud KMS.
PHP
Per eseguire questo codice, scopri innanzitutto come utilizzare PHP su Google Cloud e installare l'SDK PHP di Cloud KMS.
Python
Per eseguire questo codice, prima configura un ambiente di sviluppo Python e installa l'SDK Python di Cloud KMS.
Ruby
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Ruby e poi installare l'SDK Ruby di Cloud KMS.
API
In questi esempi viene utilizzato curl come client HTTP per dimostrare l'utilizzo dell'API. Per maggiori informazioni sul controllo dell'accesso, consulta Accesso all'API Cloud KMS.
Crea una chiave di firma asimmetrica chiamando
CryptoKey.create
.
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys?crypto_key_id=KEY_NAME" \ --request "POST" \ --header "authorization: Bearer TOKEN" \ --header "content-type: application/json" \ --data '{"purpose": "ASYMMETRIC_SIGN", "versionTemplate": {"algorithm": "ALGORITHM"}}'
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto che contiene il keyring.LOCATION
: la località Cloud KMS del keyring.KEY_RING
: il nome del keyring che contiene la chiave.KEY_NAME
: il nome della chiave.ALGORITHM
: l'algoritmo da utilizzare per la chiave, ad esempioEC_SIGN_P256_SHA256
. Per un elenco degli algoritmi supportati, consulta Algoritmi di firma asimmetrica.
Recupera la chiave pubblica
Quando crei una chiave asimmetrica, Cloud KMS crea una coppia di chiavi pubbliche/private. Puoi recuperare la chiave pubblica di una chiave asimmetrica abilitata in qualsiasi momento dopo la generazione della chiave.
La chiave pubblica è in formato PEM (Privacy-enhanced Electronic Mail). Per ulteriori informazioni, consulta le sezioni RFC 7468, Considerazioni generali e Codifica testuale delle informazioni sulla chiave pubblica del soggetto.
Per scaricare la chiave pubblica per una versione di chiave asimmetrica esistente, segui questi passaggi:
Console
Nella console Google Cloud, vai alla pagina Gestione delle chiavi.
Fai clic sul nome del keyring contenente la chiave asimmetrica per cui vuoi recuperare la chiave pubblica.
Fai clic sul nome della chiave di cui vuoi recuperare la chiave pubblica.
Nella riga corrispondente alla versione della chiave per cui vuoi recuperare la chiave pubblica, fai clic su Mostra altro
.Fai clic su Ottieni chiave pubblica.
La chiave pubblica viene visualizzata nel prompt. Puoi copiare la chiave pubblica negli appunti. Per scaricare la chiave pubblica, fai clic su Scarica.
Se non vedi l'opzione Ottieni chiave pubblica, verifica quanto segue:
- La chiave è una chiave asimmetrica.
- La versione della chiave è abilitata.
- Hai l'autorizzazione
cloudkms.cryptoKeyVersions.viewPublicKey
.
Il nome file di una chiave pubblica scaricata dalla console Google Cloud è nel formato:
KEY_RING-KEY_NAME-KEY_VERSION.pub
Ogni parte del nome del file è separata da un trattino, ad esempio
ringname-keyname-version.pub
gcloud
Per utilizzare Cloud KMS nella riga di comando, devi prima installare o eseguire l'upgrade alla versione più recente di Google Cloud CLI.
gcloud kms keys versions get-public-key KEY_VERSION \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --output-file OUTPUT_FILE_PATH
Sostituisci quanto segue:
KEY_VERSION
: il numero di versione della chiave.KEY_NAME
: il nome della chiave.KEY_RING
: il nome del keyring che contiene la chiave.LOCATION
: la località Cloud KMS del keyring.OUTPUT_FILE_PATH
: il percorso in cui vuoi salvare il file della chiave pubblica, ad esempiopublic-key.pub
.
Per informazioni su tutti i flag e i possibili valori, esegui il comando con il flag --help
.
C#
Per eseguire questo codice, prima configura un ambiente di sviluppo C# e installa l'SDK C# di Cloud KMS.
Go
Per eseguire questo codice, prima configura un ambiente di sviluppo Go e installa l'SDK Cloud KMS Go.
Java
Per eseguire questo codice, prima configura un ambiente di sviluppo Java e installa l'SDK Java di Cloud KMS.
Node.js
Per eseguire questo codice, prima configura un ambiente di sviluppo Node.js e installa l'SDK Node.js di Cloud KMS.
PHP
Per eseguire questo codice, scopri innanzitutto come utilizzare PHP su Google Cloud e installare l'SDK PHP di Cloud KMS.
Python
Per eseguire questo codice, prima configura un ambiente di sviluppo Python e installa l'SDK Python di Cloud KMS.
Ruby
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Ruby e poi installare l'SDK Ruby di Cloud KMS.
API
In questi esempi viene utilizzato curl come client HTTP per dimostrare l'utilizzo dell'API. Per maggiori informazioni sul controllo dell'accesso, consulta Accesso all'API Cloud KMS.
Recupera la chiave pubblica chiamando il metodo CryptoKeyVersions.getPublicKey.
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/KEY_VERSION/publicKey" \ --request "GET" \ --header "authorization: Bearer TOKEN"
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto che contiene il keyring.LOCATION
: la località Cloud KMS del keyring.KEY_RING
: il nome del keyring che contiene la chiave.KEY_NAME
: il nome della chiave.KEY_VERSION
: il numero di versione della chiave.
L'output dovrebbe essere simile al seguente:
{ "pem": "-----BEGIN PUBLIC KEY-----\nQ29uZ3JhdHVsYXRpb25zLCB5b3UndmUgZGlzY292ZX JlZCB0aGF0IHRoaXMgaXNuJ3QgYWN0dWFsbHkgYSBwdWJsaWMga2V5ISBIYXZlIGEgbmlj ZSBkYXkgOik=\n-----END PUBLIC KEY-----\n", "algorithm": "ALGORITHM", "pemCrc32c": "2561089887", "name": "projects/PROJECT_ID/locations/LOCATION/keyRings/ KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/ KEY_VERSION", "protectionLevel": "SOFTWARE" }
Converti una chiave pubblica nel formato JWK
Cloud KMS consente di recuperare una chiave pubblica in formato PEM. Alcune applicazioni potrebbero richiedere altri formati chiave, ad esempio JWK (JSON Web Key). Per ulteriori informazioni sul formato JWK, consulta RFC 7517.
Per convertire una chiave pubblica nel formato JWK:
Go
Per eseguire questo codice, prima configura un ambiente di sviluppo Go e installa l'SDK Cloud KMS Go.
Java
Per eseguire questo codice, prima configura un ambiente di sviluppo Java e installa l'SDK Java di Cloud KMS.
Python
Per eseguire questo codice, prima configura un ambiente di sviluppo Python e installa l'SDK Python di Cloud KMS.
Controlla l'accesso alle chiavi asimmetriche
Un firmatario o uno strumento di convalida richiede l'autorizzazione o il ruolo appropriati sulla chiave asimmetrica.
Per un utente o un servizio che eseguirà la firma, concedi l'autorizzazione
cloudkms.cryptoKeyVersions.useToSign
sulla chiave asimmetrica.Per un utente o un servizio che recupererà la chiave pubblica, concedi
cloudkms.cryptoKeyVersions.viewPublicKey
sulla chiave asimmetrica. La chiave pubblica è necessaria per la convalida della firma.
Per saperne di più sulle autorizzazioni e sui ruoli nella release di Cloud KMS, consulta Autorizzazioni e ruoli.
Crea una chiave di firma MAC
Console
Nella console Google Cloud, vai alla pagina Gestione delle chiavi.
Fai clic sul nome del keyring per cui creerai una chiave.
Fai clic su Crea chiave.
In Nome chiave, inserisci un nome per la chiave.
In Livello di protezione, seleziona Software o HSM.
In Materiale della chiave, seleziona Chiave generata.
In corrispondenza della sezione Finalità, seleziona Firma/verifica MAC.
(Facoltativo) Per Algoritmo, seleziona un algoritmo di firma HMAC.
Fai clic su Crea.
gcloud
Per utilizzare Cloud KMS nella riga di comando, devi prima installare o eseguire l'upgrade alla versione più recente di Google Cloud CLI.
gcloud kms keys create KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --purpose "mac" \ --default-algorithm "ALGORITHM" \ --protection-level "PROTECTION_LEVEL"
Sostituisci quanto segue:
KEY_NAME
: il nome della chiave.KEY_RING
: il nome del keyring che contiene la chiave.LOCATION
: la località Cloud KMS del keyring.ALGORITHM
: l'algoritmo di firma HMAC, ad esempiohmac-sha256
. Per visualizzare tutti gli algoritmi HMAC supportati, consulta Algoritmi di firma HMAC.PROTECTION_LEVEL
: livello di protezione della chiave, ad esempiohsm
. Puoi omettere il flag--protection-level
per le chiavisoftware
.
Per informazioni su tutti i flag e i possibili valori, esegui il comando con il flag --help
.
C#
Per eseguire questo codice, prima configura un ambiente di sviluppo C# e installa l'SDK C# di Cloud KMS.
Go
Per eseguire questo codice, prima configura un ambiente di sviluppo Go e installa l'SDK Cloud KMS Go.
Java
Per eseguire questo codice, prima configura un ambiente di sviluppo Java e installa l'SDK Java di Cloud KMS.
Node.js
Per eseguire questo codice, prima configura un ambiente di sviluppo Node.js e installa l'SDK Node.js di Cloud KMS.
PHP
Per eseguire questo codice, scopri innanzitutto come utilizzare PHP su Google Cloud e installare l'SDK PHP di Cloud KMS.
Python
Per eseguire questo codice, prima configura un ambiente di sviluppo Python e installa l'SDK Python di Cloud KMS.
Ruby
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Ruby e poi installare l'SDK Ruby di Cloud KMS.
API
In questi esempi viene utilizzato curl come client HTTP per dimostrare l'utilizzo dell'API. Per maggiori informazioni sul controllo dell'accesso, consulta Accesso all'API Cloud KMS.
Per creare una chiave, utilizza il metodo CryptoKey.create
:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys?crypto_key_id=KEY_NAME" \ --request "POST" \ --header "authorization: Bearer TOKEN" \ --header "content-type: application/json" \ --data '{"purpose": "MAC", "versionTemplate": { "protectionLevel": "PROTECTION_LEVEL", "algorithm": "ALGORITHM" }}'
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto che contiene il keyring.LOCATION
: la località Cloud KMS del keyring.KEY_RING
: il nome del keyring che contiene la chiave.KEY_NAME
: il nome della chiave.PROTECTION_LEVEL
: il livello di protezione della chiave, ad esempioSOFTWARE
oHSM
.ALGORITHM
: l'algoritmo di firma HMAC, ad esempioHMAC_SHA256
. Per visualizzare tutti gli algoritmi HMAC supportati, consulta Algoritmi di firma HMAC.
Passaggi successivi
- Scopri di più sulla rotazione della chiave.
- Scopri di più sulla creazione e convalida delle firme.
- Scopri di più su crittografia e decriptazione dei dati con una chiave RSA.
- Scopri di più sul recupero di una chiave pubblica.