このページでは、Cloud KMS でキーリングを作成する方法について説明します。キーリングは、Cloud KMS の鍵と鍵バージョンのルート リソースです。各キーリングは特定のロケーション内に存在します。Cloud KMS リソースの詳細については、Cloud KMS リソースをご覧ください。
始める前に
このページで説明するタスクの前に、次のことを行っておく必要があります。
- Cloud KMS リソースを含む Google Cloud プロジェクト リソース。このプロジェクトは鍵プロジェクトと呼ばれます。キー プロジェクトには他の Google Cloud リソースを含めないことをおすすめします。鍵プロジェクトに対する Cloud KMS API を有効にします。
- キーリングを作成するロケーションの名前。他のリソースの近くにあり、選択した保護レベルをサポートするロケーションを選択します。使用可能なロケーションとサポートされる保護レベルを確認するには、Cloud KMS のロケーションをご覧ください。
必要なロール
キーリングの作成に必要な権限を取得するには、プロジェクトまたは親リソースに対する Cloud KMS 管理者(roles/cloudkms.admin
)の IAM ロールを付与するよう管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織へのアクセスを管理するをご覧ください。
この事前定義ロールには、キーリングの作成に必要な権限が含まれています。必要とされる正確な権限については、「必要な権限」セクションを開いてご確認ください。
必要な権限
キーリングを作成するには、次の権限が必要です。
-
cloudkms.keyRings.create
-
cloudkms.keyRings.get
-
cloudkms.keyRings.list
-
cloudkms.locations.get
-
cloudkms.locations.list
-
resourcemanager.projects.get
カスタムロールや他の事前定義ロールを使用して、これらの権限を取得することもできます。
キーリングの作成
新しい鍵のキーリングを作成する手順は次のとおりです。鍵リングは作成せず、既存のものを使用する場合は、鍵を作成できます。
Console
Google Cloud コンソールで、[鍵の管理] ページに移動します。
[キーリングを作成] をクリックします。
[キーリング名] に、キーリングの名前を入力します。
[キーリングのロケーション] で、
"us-east1"
などのロケーションを選択します。[作成] をクリックします。
gcloud
-
In the Google Cloud console, activate Cloud Shell.
- 開発環境で、
gcloud kms keyrings create
コマンドを実行します。gcloud kms keyrings create KEY_RING \ --location LOCATION
以下を置き換えます。
KEY_RING
: 鍵を含むキーリングの名前LOCATION
: キーリングの Cloud KMS のロケーション
すべてのフラグと有効な値については、
--help
フラグを指定してコマンドを実行してください。
C#
このコードを実行するには、まず C# 開発環境を設定し、Cloud KMS C# SDK をインストールします。
Go
このコードを実行するには、まず Go 開発環境を設定し、Cloud KMS Go SDK をインストールします。
Java
このコードを実行するには、まず Java 開発環境を設定し、Cloud KMS Java SDK をインストールします。
Node.js
このコードを実行するには、まず Node.js 開発環境を設定し、Cloud KMS Node.js SDK をインストールします。
PHP
このコードを実行するには、まず Google Cloud での PHP の使用について学び、Cloud KMS PHP SDK をインストールしてください。
Python
このコードを実行するには、まず Python 開発環境を設定し、Cloud KMS Python SDK をインストールします。
Ruby
このコードを実行するには、まず Ruby 開発環境を設定し、Cloud KMS Ruby SDK をインストールします。
API
これらの例では、HTTP クライアントとして curl を使用して API の使用例を示しています。アクセス制御の詳細については、Cloud KMS API へのアクセスをご覧ください。
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings?key_ring_id=KEY_RING" \ --request "POST" \ --header "authorization: Bearer TOKEN"
以下を置き換えます。
PROJECT_ID
: キーリングを含むプロジェクトの ID。KEY_RING
: 鍵を含むキーリングの名前LOCATION
: キーリングの Cloud KMS のロケーション
詳しくは、KeyRing.create
API ドキュメントをご覧ください。