Questa pagina mostra come creare una chiave in Cloud KMS. Una chiave può essere una chiave di crittografia simmetrica o asimmetrica, una chiave di firma asimmetrica o una chiave di firma MAC.
Quando crei una chiave, la aggiungi a un keyring in una località Cloud KMS specifica. Puoi creare un nuovo anello di chiavi o utilizzarne uno esistente. In questa pagina generi una nuova chiave Cloud KMS o Cloud HSM e la aggiungi a un keyring esistente. Per creare una chiave Cloud EKM, consulta Creare una chiave esterna. Per importare una chiave Cloud KMS o Cloud HSM, consulta Importare una chiave.
Prima di iniziare
Prima di completare le attività in questa pagina, devi disporre di quanto segue:
- Una risorsa del progetto Google Cloud per contenere le risorse Cloud KMS. Ti consigliamo di utilizzare un progetto separato per le tue risorse Cloud KMS che non contenga altre risorse Google Cloud.
- Il nome e la posizione del keyring in cui vuoi creare la chiave. Scegli un portachiavi in una posizione vicina alle altre risorse e che supporti il livello di protezione scelto. Per visualizzare le località disponibili e i livelli di protezione supportati, consulta Località Cloud KMS. Per creare un keyring, consulta la sezione Creare un keyring.
- (Facoltativo) Per utilizzare l'interfaccia alla gcloud CLI, prepara l'ambiente.
In the Google Cloud console, activate Cloud Shell.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per creare le chiavi,
chiedi all'amministratore di concederti il ruolo IAM Amministratore Cloud KMS (roles/cloudkms.admin
) nel progetto o in una risorsa principale.
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
Questo ruolo predefinito contiene le autorizzazioni necessarie per creare chiavi. Per visualizzare le autorizzazioni esatte richieste, espandi la sezione Autorizzazioni richieste:
Autorizzazioni obbligatorie
Per creare le chiavi sono necessarie le seguenti autorizzazioni:
-
cloudkms.cryptoKeys.create
-
cloudkms.cryptoKeys.get
-
cloudkms.cryptoKeys.list
-
cloudkms.cryptoKeyVersions.create
-
cloudkms.cryptoKeyVersions.get
-
cloudkms.cryptoKeyVersions.list
-
cloudkms.keyRings.get
-
cloudkms.keyRings.list
-
cloudkms.locations.get
-
cloudkms.locations.list
-
resourcemanager.projects.get
-
Per recuperare una chiave pubblica:
cloudkms.cryptoKeyVersions.viewPublicKey
Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.
Crea una chiave di crittografia simmetrica
Console
Nella console Google Cloud, vai alla pagina Gestione delle chiavi.
Fai clic sul nome del keyring per cui vuoi creare una chiave.
Fai clic su Crea chiave.
In Nome chiave, inserisci un nome per la chiave.
Per Livello di protezione, seleziona Software o HSM.
In Materiale della chiave, seleziona Chiave generata.
Per Finalità, seleziona Crittografia/decriptazione simmetrica.
Accetta i valori predefiniti per Periodo di rotazione e A partire dal giorno.
Fai clic su Crea.
gcloud
Per utilizzare Cloud KMS sulla riga di comando, esegui l'installazione o l'upgrade alla versione più recente di Google Cloud CLI.
gcloud kms keys create KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --purpose "encryption" \ --protection-level "PROTECTION_LEVEL"
Sostituisci quanto segue:
KEY_NAME
: il nome della chiave.KEY_RING
: il nome del mazzo di chiavi che contiene la chiave.LOCATION
: la posizione di Cloud KMS della raccolta di chiavi.PROTECTION_LEVEL
: il livello di protezione da utilizzare per la chiave, ad esempiosoftware
ohsm
. Puoi omettere il flag--protection-level
per le chiavisoftware
.
Per informazioni su tutti i flag e i possibili valori, esegui il comando con il flag --help
.
C#
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo C# e installare l'SDK C# Cloud KMS.
Go
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Go e installare l'SDK Go Cloud KMS.
Java
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Java e installare l'SDK Java Cloud KMS.
Node.js
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Node.js e installare l'SDK Node.js di Cloud KMS.
PHP
Per eseguire questo codice, devi innanzitutto scoprire come utilizzare PHP su Google Cloud e installare l'SDK PHP Cloud KMS.
Python
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Python e installare l'SDK Python Cloud KMS.
Ruby
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Ruby e installare l'SDK Ruby Cloud KMS.
API
Questi esempi utilizzano curl come client HTTP per dimostrare l'utilizzo dell'API. Per ulteriori informazioni sul controllo dell'accesso, consulta Accedere all'API Cloud KMS.
Per creare una chiave, utilizza il metodo
CryptoKey.create
:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys?crypto_key_id=KEY_NAME" \ --request "POST" \ --header "authorization: Bearer TOKEN" \ --header "content-type: application/json" \ --data '{"purpose": "ENCRYPT_DECRYPT", "versionTemplate": { "protectionLevel": "PROTECTION_LEVEL", "algorithm": "ALGORITHM" }}'
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto che contiene la chiave automatizzata.LOCATION
: la posizione di Cloud KMS della raccolta di chiavi.KEY_RING
: il nome del mazzo di chiavi che contiene la chiave.KEY_NAME
: il nome della chiave.PROTECTION_LEVEL
: il livello di protezione della chiave, ad esempioSOFTWARE
oHSM
.ALGORITHM
: l'algoritmo di firma HMAC, ad esempioHMAC_SHA256
. Per visualizzare tutti gli algoritmi HMAC supportati, consulta Algoritmi di firma HMAC.
Creare una chiave di crittografia simmetrica con rotazione automatica personalizzata
Quando crei una chiave, puoi specificarne il periodo di rotazione, ovvero il tempo che intercorre tra la creazione automatica delle nuove versioni della chiave. Puoi anche specificare in modo indipendente la data/ora della rotazione successiva, in modo che la rotazione successiva avvenga prima o dopo un periodo di rotazione da ora.
Console
Quando utilizzi la console Google Cloud per creare una chiave, Cloud KMS imposta automaticamente il periodo di rotazione e la data e l'ora della rotazione successiva. Puoi scegliere di utilizzare i valori predefiniti o specificare valori diversi.
Per specificare un periodo di rotazione e un'ora di inizio diversi, quando crei la chiave, ma prima di fare clic sul pulsante Crea:
Per Periodo di rotazione della chiave, seleziona un'opzione.
In A partire dal, seleziona la data in cui vuoi che venga eseguita la prima rotazione automatica. Puoi lasciare A partire dal giorno sul valore predefinito per avviare la prima rotazione automatica di un periodo di rotazione della chiave dal momento in cui crei la chiave.
gcloud
Per utilizzare Cloud KMS sulla riga di comando, esegui l'installazione o l'upgrade alla versione più recente di Google Cloud CLI.
gcloud kms keys create KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --purpose "encryption" \ --rotation-period ROTATION_PERIOD \ --next-rotation-time NEXT_ROTATION_TIME
Sostituisci quanto segue:
KEY_NAME
: il nome della chiave.KEY_RING
: il nome del mazzo di chiavi che contiene la chiave.LOCATION
: la posizione di Cloud KMS della raccolta di chiavi.ROTATION_PERIOD
: l'intervallo per girare la chiave, ad esempio30d
per ruotarla ogni 30 giorni. Il periodo di rotazione deve essere di almeno 1 giorno e massimo 100 anni. Per ulteriori informazioni, consulta CryptoKey.rotationPeriod.NEXT_ROTATION_TIME
: il timestamp al quale completare la prima rotazione, ad esempio2023-01-01T01:02:03
. Puoi omettere--next-rotation-time
per pianificare la prima rotazione per un periodo di rotazione dal momento in cui esegui il comando. Per ulteriori informazioni, consultaCryptoKey.nextRotationTime
.
Per informazioni su tutti i flag e i possibili valori, esegui il comando con il flag --help
.
C#
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo C# e installare l'SDK C# Cloud KMS.
Go
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Go e installare l'SDK Go Cloud KMS.
Java
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Java e installare l'SDK Java Cloud KMS.
Node.js
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Node.js e installare l'SDK Node.js di Cloud KMS.
PHP
Per eseguire questo codice, devi innanzitutto scoprire come utilizzare PHP su Google Cloud e installare l'SDK PHP Cloud KMS.
Python
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Python e installare l'SDK Python Cloud KMS.
Ruby
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Ruby e installare l'SDK Ruby Cloud KMS.
API
Questi esempi utilizzano curl come client HTTP per dimostrare l'utilizzo dell'API. Per ulteriori informazioni sul controllo dell'accesso, consulta Accedere all'API Cloud KMS.
Per creare una chiave, utilizza il metodo
CryptoKey.create
:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys?crypto_key_id=KEY_NAME" \ --request "POST" \ --header "authorization: Bearer TOKEN" \ --header "content-type: application/json" \ --data '{"purpose": "PURPOSE", "rotationPeriod": "ROTATION_PERIOD", "nextRotationTime": "NEXT_ROTATION_TIME"}'
Sostituisci quanto segue:
PURPOSE
: lo scopo della chiave.ROTATION_PERIOD
: l'intervallo per girare la chiave, ad esempio30d
per ruotarla ogni 30 giorni. Il periodo di rotazione deve essere di almeno 1 giorno e massimo 100 anni. Per ulteriori informazioni, consulta CryptoKey.rotationPeriod.NEXT_ROTATION_TIME
: il timestamp al quale completare la prima rotazione, ad esempio2023-01-01T01:02:03
. Per ulteriori informazioni, consultaCryptoKey.nextRotationTime
.
Imposta la durata dello stato "pianificata per l'eliminazione"
Per impostazione predefinita, le versioni della chiave in Cloud KMS rimangono nello stato Eliminazione pianificata (DESTROY_SCHEDULED
) per 30 giorni prima di essere eliminate. Lo stato pianificata per l'eliminazione è a volte chiamato
stato di eliminazione soft. La durata per cui le versioni delle chiavi rimangono in questo stato è configurabile, con i seguenti vincoli:
- Puoi impostare la durata solo durante la creazione della chiave.
- Una volta specificata, la durata della chiave non può essere modificata.
- La durata si applica a tutte le versioni della chiave create in futuro.
- La durata minima è di 24 ore per tutte le chiavi, ad eccezione di quelle di sola importazione, che hanno una durata minima pari a 0.
- La durata massima è di 120 giorni.
- La durata predefinita è di 30 giorni.
La tua organizzazione potrebbe avere un valore minimo della durata pianificata per l'eliminazione definito dai criteri dell'organizzazione. Per ulteriori informazioni, consulta la sezione Distruzione delle chiavi di controllo.
Per creare una chiave che utilizzi una durata personalizzata per lo stato scheduled for destruction (Pianificata per l'eliminazione), segui questi passaggi:
Console
Nella console Google Cloud, vai alla pagina Gestione delle chiavi.
Fai clic sul nome del keyring per cui vuoi creare una chiave.
Fai clic su Crea chiave.
Configura le impostazioni della chiave per la tua applicazione.
Fai clic su Impostazioni aggiuntive.
In Durata dello stato "pianificata per l'eliminazione", scegli il numero di giorni in cui la chiave rimarrà pianificata per l'eliminazione prima di essere eliminata definitivamente.
Fai clic su Crea chiave.
gcloud
Per utilizzare Cloud KMS sulla riga di comando, esegui l'installazione o l'upgrade alla versione più recente di Google Cloud CLI.
gcloud kms keys create KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --purpose PURPOSE \ --destroy-scheduled-duration DURATION
Sostituisci quanto segue:
KEY_NAME
: il nome della chiave.KEY_RING
: il nome del mazzo di chiavi che contiene la chiave.LOCATION
: la posizione di Cloud KMS della raccolta di chiavi.PURPOSE
: lo scopo della chiave, ad esempioencryption
.DURATION
: il periodo di tempo durante il quale la chiave deve rimanere nello stato pianificata per l'eliminazione prima di essere eliminata definitivamente.
Per informazioni su tutti i flag e i possibili valori, esegui il comando con il flag --help
.
Ti consigliamo di utilizzare la durata predefinita di 30 giorni per tutte le chiavi, a meno che tu non abbia requisiti normativi o di applicazione specifici che richiedono un valore diverso.
Crea una chiave asimmetrica
Le sezioni seguenti mostrano come creare chiavi asimmetriche.
Creazione di una chiave di decriptazione asimmetrica
Segui questi passaggi per creare una chiave di decriptazione asimmetrica nell'anello di chiavi e nella posizione specificati. Questi esempi possono essere adattati per specificare un livello di protezione o un algoritmo diverso. Per ulteriori informazioni e valori alternativi, consulta Algoritmi e Livelli di protezione.
Quando crei la chiave per la prima volta, la versione iniziale della chiave ha lo stato Generare in attesa. Quando lo stato diventa Attivato, puoi utilizzare la chiave. Per scoprire di più sugli stati delle versioni delle chiavi, consulta Stati delle versioni delle chiavi.
Console
Nella console Google Cloud, vai alla pagina Gestione delle chiavi.
Fai clic sul nome del keyring per cui vuoi creare una chiave.
Fai clic su Crea chiave.
In Nome chiave, inserisci un nome per la chiave.
Per Livello di protezione, seleziona Software o HSM.
In Materiale della chiave, seleziona Chiave generata.
Per Finalità, seleziona Decriptazione asimmetrica.
In Algorithm (Algoritmo), seleziona RSA a 3072 bit - Padding OAEP - Digest SHA256. Puoi modificare questo valore nelle versioni future della chiave.
Fai clic su Crea.
gcloud
Per utilizzare Cloud KMS sulla riga di comando, esegui l'installazione o l'upgrade alla versione più recente di Google Cloud CLI.
gcloud kms keys create KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --purpose "asymmetric-encryption" \ --default-algorithm "ALGORITHM"
Sostituisci quanto segue:
KEY_NAME
: il nome della chiave.KEY_RING
: il nome del mazzo di chiavi che contiene la chiave.LOCATION
: la posizione di Cloud KMS della raccolta di chiavi.ALGORITHM
: l'algoritmo da utilizzare per la chiave, ad esempiorsa-decrypt-oaep-3072-sha256
. Per un elenco degli algoritmi di crittografia asimmetrica supportati, consulta Algoritmi di crittografia asimmetrica.
Per informazioni su tutti i flag e i possibili valori, esegui il comando con il flag --help
.
C#
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo C# e installare l'SDK C# Cloud KMS.
Go
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Go e installare l'SDK Go Cloud KMS.
Java
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Java e installare l'SDK Java Cloud KMS.
Node.js
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Node.js e installare l'SDK Node.js di Cloud KMS.
PHP
Per eseguire questo codice, devi innanzitutto scoprire come utilizzare PHP su Google Cloud e installare l'SDK PHP Cloud KMS.
Python
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Python e installare l'SDK Python Cloud KMS.
Ruby
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Ruby e installare l'SDK Ruby Cloud KMS.
API
Questi esempi utilizzano curl come client HTTP per dimostrare l'utilizzo dell'API. Per ulteriori informazioni sul controllo dell'accesso, consulta Accedere all'API Cloud KMS.
Crea una chiave di decriptazione asimmetrica chiamando
CryptoKey.create
.
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys?crypto_key_id=KEY_NAME" \ --request "POST" \ --header "authorization: Bearer TOKEN" \ --header "content-type: application/json" \ --data '{"purpose": "ASYMMETRIC_DECRYPT", "versionTemplate": {"algorithm": "ALGORITHM"}}'
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto che contiene la chiave automatizzata.LOCATION
: la posizione di Cloud KMS della raccolta di chiavi.KEY_RING
: il nome del mazzo di chiavi che contiene la chiave.KEY_NAME
: il nome della chiave.ALGORITHM
: l'algoritmo da utilizzare per la chiave, ad esempioRSA_DECRYPT_OAEP_3072_SHA256
. Per un elenco degli algoritmi di crittografia asimmetrica supportati, consulta Algoritmi di crittografia asimmetrica.
Creazione di una chiave di firma asimmetrica
Per creare una chiave di firma asimmetrica nel portachiavi e nella posizione specificati, segui questi passaggi. Questi esempi possono essere adattati per specificare un livello di protezione o un algoritmo diverso. Per ulteriori informazioni e valori alternativi, consulta Algoritmi e Livelli di protezione.
Quando crei la chiave per la prima volta, la versione iniziale della chiave ha lo stato Generare in attesa. Quando lo stato diventa Attivato, puoi utilizzare la chiave. Per scoprire di più sugli stati delle versioni delle chiavi, consulta Stati delle versioni delle chiavi.
Console
Nella console Google Cloud, vai alla pagina Gestione delle chiavi.
Fai clic sul nome del keyring per cui vuoi creare una chiave.
Fai clic su Crea chiave.
In Nome chiave, inserisci un nome per la chiave.
Per Livello di protezione, seleziona Software o HSM.
In Materiale della chiave, seleziona Chiave generata.
Per Finalità, seleziona Segno asimmetrico.
Per Algorithm (Algoritmo), seleziona Elliptic Curve P-256 - SHA256 Digest. Puoi modificare questo valore nelle versioni future della chiave.
Fai clic su Crea.
gcloud
Per utilizzare Cloud KMS sulla riga di comando, esegui l'installazione o l'upgrade alla versione più recente di Google Cloud CLI.
gcloud kms keys create KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --purpose "asymmetric-signing" \ --default-algorithm "ALGORITHM"
Sostituisci quanto segue:
KEY_NAME
: il nome della chiave.KEY_RING
: il nome del mazzo di chiavi che contiene la chiave.LOCATION
: la posizione di Cloud KMS della raccolta di chiavi.ALGORITHM
: l'algoritmo da utilizzare per la chiave, ad esempioec-sign-p256-sha256
. Per un elenco degli algoritmi supportati, consulta Algoritmi di firma asimmetrica.
Per informazioni su tutti i flag e i possibili valori, esegui il comando con il flag --help
.
C#
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo C# e installare l'SDK C# Cloud KMS.
Go
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Go e installare l'SDK Go Cloud KMS.
Java
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Java e installare l'SDK Java Cloud KMS.
Node.js
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Node.js e installare l'SDK Node.js di Cloud KMS.
PHP
Per eseguire questo codice, devi innanzitutto scoprire come utilizzare PHP su Google Cloud e installare l'SDK PHP Cloud KMS.
Python
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Python e installare l'SDK Python Cloud KMS.
Ruby
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Ruby e installare l'SDK Ruby Cloud KMS.
API
Questi esempi utilizzano curl come client HTTP per dimostrare l'utilizzo dell'API. Per ulteriori informazioni sul controllo dell'accesso, consulta Accedere all'API Cloud KMS.
Crea una chiave di firma asimmetrica chiamando
CryptoKey.create
.
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys?crypto_key_id=KEY_NAME" \ --request "POST" \ --header "authorization: Bearer TOKEN" \ --header "content-type: application/json" \ --data '{"purpose": "ASYMMETRIC_SIGN", "versionTemplate": {"algorithm": "ALGORITHM"}}'
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto che contiene la chiave automatizzata.LOCATION
: la posizione di Cloud KMS della raccolta di chiavi.KEY_RING
: il nome del mazzo di chiavi che contiene la chiave.KEY_NAME
: il nome della chiave.ALGORITHM
: l'algoritmo da utilizzare per la chiave, ad esempioEC_SIGN_P256_SHA256
. Per un elenco degli algoritmi supportati, consulta Algoritmi di firma asimmetrica.
Recupera la chiave pubblica
Quando crei una chiave asimmetrica, Cloud KMS crea una coppia di chiavi pubblica/privata. Puoi recuperare la chiave pubblica di una chiave asimmetrica abilitata in qualsiasi momento dopo la generazione della chiave.
La chiave pubblica è in formato PEM (Privacy-enhanced Electronic Mail). Per ulteriori informazioni, consulta le sezioni Considerazioni generali e Codifica testuale delle informazioni sulla chiave pubblica dell'oggetto del documento RFC 7468.
Per scaricare la chiave pubblica per una versione della chiave asimmetrica esistente, segui questi passaggi:
Console
Nella console Google Cloud, vai alla pagina Gestione delle chiavi.
Fai clic sul nome del keyring contenente la chiave asimmetrica per la quale vuoi recuperare la chiave pubblica.
Fai clic sul nome della chiave per cui vuoi recuperare la chiave pubblica.
Nella riga corrispondente alla versione della chiave per cui vuoi recuperare la chiave pubblica, fai clic su Visualizza altro
.Fai clic su Ricevi chiave pubblica.
La chiave pubblica viene visualizzata nel prompt. Puoi copiare la chiave pubblica negli appunti. Per scaricare la chiave pubblica, fai clic su Scarica.
Se non vedi l'opzione Ottieni chiave pubblica, verifica quanto segue:
- La chiave è una chiave asimmetrica.
- La versione della chiave è abilitata.
- Disponi dell'autorizzazione
cloudkms.cryptoKeyVersions.viewPublicKey
.
Il nome file di una chiave pubblica scaricata dalla console Google Cloud è del seguente formato:
KEY_RING-KEY_NAME-KEY_VERSION.pub
Ogni parte del nome del file è separata da un trattino, ad esempio
ringname-keyname-version.pub
gcloud
Per utilizzare Cloud KMS sulla riga di comando, esegui l'installazione o l'upgrade alla versione più recente di Google Cloud CLI.
gcloud kms keys versions get-public-key KEY_VERSION \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --output-file OUTPUT_FILE_PATH
Sostituisci quanto segue:
KEY_VERSION
: il numero di versione della chiave.KEY_NAME
: il nome della chiave.KEY_RING
: il nome del mazzo di chiavi che contiene la chiave.LOCATION
: la posizione di Cloud KMS della raccolta di chiavi.OUTPUT_FILE_PATH
: il percorso in cui vuoi salvare il file della chiave pubblica, ad esempiopublic-key.pub
.
Per informazioni su tutti i flag e i possibili valori, esegui il comando con il flag --help
.
C#
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo C# e installare l'SDK C# Cloud KMS.
Go
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Go e installare l'SDK Go Cloud KMS.
Java
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Java e installare l'SDK Java Cloud KMS.
Node.js
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Node.js e installare l'SDK Node.js di Cloud KMS.
PHP
Per eseguire questo codice, devi innanzitutto scoprire come utilizzare PHP su Google Cloud e installare l'SDK PHP Cloud KMS.
Python
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Python e installare l'SDK Python Cloud KMS.
Ruby
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Ruby e installare l'SDK Ruby Cloud KMS.
API
Questi esempi utilizzano curl come client HTTP per dimostrare l'utilizzo dell'API. Per ulteriori informazioni sul controllo dell'accesso, consulta Accedere all'API Cloud KMS.
Recupera la chiave pubblica chiamando il metodo CryptoKeyVersions.getPublicKey.
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/KEY_VERSION/publicKey" \ --request "GET" \ --header "authorization: Bearer TOKEN"
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto che contiene la chiave automatizzata.LOCATION
: la posizione di Cloud KMS della raccolta di chiavi.KEY_RING
: il nome del mazzo di chiavi che contiene la chiave.KEY_NAME
: il nome della chiave.KEY_VERSION
: il numero di versione della chiave.
L'output dovrebbe essere simile al seguente:
{ "pem": "-----BEGIN PUBLIC KEY-----\nQ29uZ3JhdHVsYXRpb25zLCB5b3UndmUgZGlzY292ZX JlZCB0aGF0IHRoaXMgaXNuJ3QgYWN0dWFsbHkgYSBwdWJsaWMga2V5ISBIYXZlIGEgbmlj ZSBkYXkgOik=\n-----END PUBLIC KEY-----\n", "algorithm": "ALGORITHM", "pemCrc32c": "2561089887", "name": "projects/PROJECT_ID/locations/LOCATION/keyRings/ KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/ KEY_VERSION", "protectionLevel": "PROTECTION_LEVEL" }
Convertire una chiave pubblica in formato JWK
Cloud KMS ti consente di recuperare una chiave pubblica in formato PEM. Alcune applicazioni potrebbero richiedere altri formati di chiavi, come le chiavi web JSON (JWK). Per ulteriori informazioni sul formato JWK, consulta la RFC 7517.
Per convertire una chiave pubblica in formato JWK:
Go
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Go e installare l'SDK Go Cloud KMS.
Java
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Java e installare l'SDK Java Cloud KMS.
Python
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Python e installare l'SDK Python Cloud KMS.
Controllare l'accesso alle chiavi asimmetriche
Un firmatario o un validatore richiede l'autorizzazione o il ruolo appropriato per la chiave asimmetrica.
A un utente o a un servizio che eseguirà la firma, concedi l'autorizzazione
cloudkms.cryptoKeyVersions.useToSign
alla chiave asimmetrica.Per un utente o un servizio che recupererà la chiave pubblica, concedi il diritto
cloudkms.cryptoKeyVersions.viewPublicKey
alla chiave asimmetrica. La chiave pubblica è obbligatoria per la convalida della firma.
Scopri di più sulle autorizzazioni e sui ruoli nella release di Cloud KMS in Autorizzazioni e ruoli.
Crea una chiave di firma MAC
Console
Nella console Google Cloud, vai alla pagina Gestione delle chiavi.
Fai clic sul nome del keyring per cui vuoi creare una chiave.
Fai clic su Crea chiave.
In Nome chiave, inserisci un nome per la chiave.
Per Livello di protezione, seleziona Software o HSM.
In Materiale della chiave, seleziona Chiave generata.
In Finalità, seleziona Firma/verifica MAC.
(Facoltativo) Per Algoritmo, seleziona un algoritmo di firma HMAC.
Fai clic su Crea.
gcloud
Per utilizzare Cloud KMS sulla riga di comando, esegui l'installazione o l'upgrade alla versione più recente di Google Cloud CLI.
gcloud kms keys create KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --purpose "mac" \ --default-algorithm "ALGORITHM" \ --protection-level "PROTECTION_LEVEL"
Sostituisci quanto segue:
KEY_NAME
: il nome della chiave.KEY_RING
: il nome del mazzo di chiavi che contiene la chiave.LOCATION
: la posizione di Cloud KMS della raccolta di chiavi.ALGORITHM
: l'algoritmo di firma HMAC, ad esempiohmac-sha256
. Per visualizzare tutti gli algoritmi HMAC supportati, consulta Algoritmi di firma HMAC.PROTECTION_LEVEL
: il livello di protezione della chiave, ad esempiohsm
. Puoi omettere il flag--protection-level
per le chiavisoftware
.
Per informazioni su tutti i flag e i possibili valori, esegui il comando con il flag --help
.
C#
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo C# e installare l'SDK C# Cloud KMS.
Go
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Go e installare l'SDK Go Cloud KMS.
Java
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Java e installare l'SDK Java Cloud KMS.
Node.js
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Node.js e installare l'SDK Node.js di Cloud KMS.
PHP
Per eseguire questo codice, devi innanzitutto scoprire come utilizzare PHP su Google Cloud e installare l'SDK PHP Cloud KMS.
Python
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Python e installare l'SDK Python Cloud KMS.
Ruby
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Ruby e installare l'SDK Ruby Cloud KMS.
API
Questi esempi utilizzano curl come client HTTP per dimostrare l'utilizzo dell'API. Per ulteriori informazioni sul controllo dell'accesso, consulta Accedere all'API Cloud KMS.
Per creare una chiave, utilizza il metodo
CryptoKey.create
:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys?crypto_key_id=KEY_NAME" \ --request "POST" \ --header "authorization: Bearer TOKEN" \ --header "content-type: application/json" \ --data '{"purpose": "MAC", "versionTemplate": { "protectionLevel": "PROTECTION_LEVEL", "algorithm": "ALGORITHM" }}'
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto che contiene la chiave automatizzata.LOCATION
: la posizione di Cloud KMS della raccolta di chiavi.KEY_RING
: il nome del mazzo di chiavi che contiene la chiave.KEY_NAME
: il nome della chiave.PROTECTION_LEVEL
: il livello di protezione della chiave, ad esempioSOFTWARE
oHSM
.ALGORITHM
: l'algoritmo di firma HMAC, ad esempioHMAC_SHA256
. Per visualizzare tutti gli algoritmi HMAC supportati, consulta Algoritmi di firma HMAC.
Passaggi successivi
- Scopri di più sulla rotazione delle chiavi.
- Scopri di più sulla creazione e sulla convalida delle firme.
- Scopri di più sulla crittografia e decriptazione dei dati con una chiave RSA.
- Scopri di più sul recupero di una chiave pubblica.