Cette page a été traduite par l'API Cloud Translation.

Accéder à l'API

Nous vous recommandons d'accéder à Cloud Key Management Service via nos bibliothèques clientes des API Google hautes performances. Ces bibliothèques, qui se connectent à l'API gRPC de Cloud KMS, sont fournies dans plusieurs langages de programmation courants.

Vous pouvez également accéder à Cloud KMS via notre API REST. Ainsi, tout langage compatible avec l'envoi de requêtes HTTP peut accéder à l'API. Cependant, la plupart des utilisateurs préféreront une bibliothèque cliente plus idiomatique.

Il existe également une interface Web pour Cloud KMS sur la console Google Cloud, qui permet d'effectuer des opérations de gestion de clés. Les opérations de chiffrement et de déchiffrement ne peuvent pas être effectuées à partir de l'interface Web.

Nous souhaitons que l'accès à Cloud KMS soit aussi convivial que possible pour toutes les langages et sur toutes les plates-formes. Nous continuons à développer cette solution en ce sens. Si cette solution ne répond pas à vos attentes, veuillez nous contacter.

Plates-formes

La façon dont les clients accèdent à l'API peut varier en fonction de la plate-forme sur laquelle le code est exécuté, en particulier dans le cadre de l'authentification. Les identifiants par défaut de l'application Google permettent d'éliminer de nombreuses différences, mais veuillez noter les points suivants. Pour en savoir plus sur l'authentification, consultez la section Présentation de l'authentification.

Compute Engine et Google Kubernetes Engine

Les logiciels exécutés sur Compute Engine, y compris les nœuds Google Kubernetes Engine, s'authentifient généralement à l'aide d'identifiants provisionnés automatiquement dans l'environnement par le biais du compte de service associé. C'est aussi le cas avec Cloud KMS. Lorsque vous créez une instance, assurez-vous de lui donner accès au champ d'application OAuth https://www.googleapis.com/auth/cloudkms (solution préférée, car compatible avec le principe du moindre privilège) ou https://www.googleapis.com/auth/cloud-platform.

Exemple :

gcloud compute instances create "instance-1" \
    --zone "us-east1-b" \
    --scopes "https://www.googleapis.com/auth/cloudkms"

Pour en savoir plus, consultez la documentation Compute Engine ou la documentation GKE.

App Engine

Pour utiliser Cloud KMS avec App Engine :

Attribuez les autorisations Identity and Access Management au compte de service App Engine (PROJECT_ID@appspot.gserviceaccount.com) pour gérer et/ou utiliser les clés.
Utilisez les identifiants par défaut de l'application, puis spécifiez le champ d'application https://www.googleapis.com/auth/cloudkms. Vous pouvez également spécifier le champ d'application https://www.googleapis.com/auth/cloud-platform, mais il inclut des champs d'application plus étendus que Cloud KMS.

Pour en savoir plus, consultez les pages Accéder à l'API et Contrôler les accès dans la documentation d'App Engine.

Authentification client

Si l'application doit authentifier directement les utilisateurs, vous pouvez obtenir et utiliser des identifiants en leur nom. Pour en savoir plus, consultez la section Comptes utilisateur.