包括 Pyca 加密库

本页面介绍如何更新 Google Cloud CLI，以支持通过安装 Pyca 加密库自动封装密钥以便安全地导入 Cloud Key Management Service。2.2.0 版或更高版本添加了对必需的 aes_key_wrap_with_padding 封装机制的支持。

准备工作

• 安装或升级 Google Cloud CLI 到 253.0.0 版或更高版本。
• 如果可能，安装 pip 命令。pip 是 Python Package Index 的命令行界面，与平台无关。您的操作系统提供的软件包管理器可能不提供 2.2.0 版或更高版本的 Pyca 加密库。

安装和使用 pip

您可以在 Linux、macOS 或 Windows 系统上安装和使用 pip。

此命令会将该库安装到您的用户环境中，并指定要安装的最低版本。要在系统范围内安装，请忽略 --user 标志。您可能需要以特权用户身份安装 pip。

pip install --user "cryptography>=2.2.0"

安装 Pyca 加密库之后，您必须启用网站软件包以便 gcloud CLI 可以使用这些库。

使用软件包管理器在 Linux 上进行安装

如果您无法使用 pip 命令，请在 Linux 系统上按照以下说明操作。

Debian 或 Ubuntu

如果您使用基于 Debian 或 Ubuntu 的系统，则可以使用 apt-get 命令安装 Pyca 加密库。

1. 检查软件包数据库中提供的 python-cryptography 软件包版本。要求采用 2.2.0 或更高版本。

   apt policy python-cryptography
   

2. 安装软件包。

   sudo apt-get install python-cryptography
   

   如有必要，请指定要安装的版本。

   sudo apt-get install python-cryptography=version
   

安装 Pyca 加密库之后，您必须启用网站软件包以便 gcloud CLI 可以使用这些库。

Red Hat、CentOS 或 SUSE

如果您的系统使用 RPM 进行软件包管理，则可以使用 yum 命令安装 Pyca 加密库。

1. 检查软件包数据库中提供的 python-cryptography 版本。要求采用 2.2.0 或更高版本。

   yum --showduplicates list python2-cryptography
   

2. 安装软件包。

   sudo yum install python2-cryptography
   

   如有必要，请指定要安装的版本。

   sudo yum install python2-cryptography-version
   

安装 Pyca 加密库之后，您必须启用网站软件包以便 gcloud CLI 可以使用这些库。

启用网站软件包

默认情况下，Google Cloud CLI 会忽略本地系统上安装的 Python 库。如需允许 Google Cloud CLI 使用 Pyca 加密库，您需要启用网站软件包。

要启用网站软件包，请将 CLOUDSDK_PYTHON_SITEPACKAGES 环境变量设置为 1。启用网站软件包后，gcloud CLI 可以使用 google-cloud-sdk/lib 目录之外的其他库。

export CLOUDSDK_PYTHON_SITEPACKAGES=1

export CLOUDSDK_PYTHON_SITEPACKAGES=1

set CLOUDSDK_PYTHON_SITEPACKAGES=1

启用网站软件包可能会导致一些 gcloud CLI 命令失败。建议您在导入密钥后停用网站软件包。

停用网站软件包

导入密钥结束后，建议您在使用 gcloud CLI 的系统上停用网站软件包。要停用网站软件包，请将 CLOUDSDK_PYTHON_SITEPACKAGES 设置为 0。

export CLOUDSDK_PYTHON_SITEPACKAGES=0

export CLOUDSDK_PYTHON_SITEPACKAGES=0

set CLOUDSDK_PYTHON_SITEPACKAGES=0