Some or all of the information on this page might not apply to Cloud de Confiance by S3NS. See Differences from Google Cloud for more details.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

יצירת מפתחות הצפנה באמצעות Cloud KMS

במדריך המקוצר הזה מוסבר איך ליצור מפתחות הצפנה ולהשתמש בהם באמצעות Cloud Key Management Service בפרויקט שבבעלותכם. בהוראות האלה משתמשים במסוףCloud de Confiance כדי ליצור אוספי מפתחות, מפתחות וגרסאות של מפתחות ב-Cloud KMS. הוראות לשימוש בשיטות אחרות זמינות במאמרים סקירה כללית של Autokey, יצירת מחזיק מפתחות ויצירת מפתח.

במדריך למתחילים הזה משתמשים בשורת הפקודה כדי לשלוח בקשות ל-Cloud KMS API. דוגמאות לתכנות שמשתמשות בספריות הלקוח כדי לשלוח בקשות ל-Cloud KMS API מופיעות במאמר הצפנה ופענוח.

לפני שמתחילים

התקינו את ה-CLI של Google Cloud.
הגדירו שה-CLI של gcloud ישתמש בזהות המאוחדת שלכם.

איך נכנסים ל-CLI של gcloud באמצעות הזהות המאוחדת?
כדי לאתחל את ה-CLI של gcloud, הריצו את הפקודה הבאה:
```
gcloud init
```
יוצרים או בוחרים Cloud de Confiance פרויקט.
תפקידים שנדרשים כדי לבחור או ליצור פרויקט
- Select a project: כדי לבחור פרויקט לא צריך תפקיד IAM ספציפי – אפשר לבחור כל פרויקט שקיבלתם בו תפקיד.
- יצירת פרויקט: כדי ליצור פרויקט, צריך את התפקיד Project Creator (יצירת פרויקטים) (roles/resourcemanager.projectCreator), שכולל את ההרשאה resourcemanager.projects.create. איך מקצים תפקידים
הערה: אם אתם לא מתכננים לשמור את המשאבים שתיצרו בתהליך הזה, תוכלו ליצור פרויקט חדש במקום לבחור באחד מהפרויקטים הקיימים. בסיום התהליך תוכלו למחוק את הפרויקט ולהסיר את כל המשאבים שמשויכים אליו.
- יוצרים Cloud de Confiance פרויקט:
```
gcloud projects create PROJECT_ID
```
  מחליפים את PROJECT_ID בשם של פרויקט Cloud de Confiance שיוצרים.
- בוחרים את הפרויקט שיצרתם: Cloud de Confiance
```
gcloud config set project PROJECT_ID
```
  מחליפים את PROJECT_ID בשם הפרויקט ב- Cloud de Confiance .
מוודאים שהחיוב מופעל בפרויקט Cloud de Confiance .
מפעילים את Cloud KMS API:
תפקידים שנדרשים להפעלת ממשקי API
כדי להפעיל ממשקי API, צריך את תפקיד ה-IAM 'אדמין של Service Usage' (roles/serviceusage.serviceUsageAdmin), שכולל את ההרשאה serviceusage.services.enable. איך מקצים תפקידים
```
gcloud services enable cloudkms.googleapis.com
```

מעניקים תפקידים לחשבון המשתמש. מריצים את הפקודה הבאה לכל אחד מהתפקידים הבאים ב-IAM: roles/cloudkms.admin, roles/cloudkms.cryptoKeyEncrypterDecrypter
```
gcloud projects add-iam-policy-binding PROJECT_ID --member="user:USER_IDENTIFIER" --role=ROLE
```
מחליפים את מה שכתוב בשדות הבאים:
- ‫PROJECT_ID: מזהה הפרויקט.
- ‫USER_IDENTIFIER: המזהה של חשבון המשתמש חשבון. דוגמאות מופיעות במאמר ייצוג המשתמשים במאגרי כוח עבודה בכללי מדיניות IAM.
- ‫ROLE: תפקיד ה-IAM שאתם מקצים לחשבון המשתמש.

אוספי מפתחות ומפתחות

כדי להצפין ולפענח תוכן, תצטרכו מפתח Cloud KMS, שהוא חלק מאוסף מפתחות.

יוצרים אוסף מפתחות בשם test ומפתח בשם quickstart. מידע נוסף על האובייקטים האלה ועל הקשר ביניהם זמין במאמר סקירה כללית על היררכיית האובייקטים.

gcloud kms keyrings create "test" \
    --location "global"

gcloud kms keys create "quickstart" \
    --location "global" \
    --keyring "test" \
    --purpose "encryption"

אפשר להשתמש באפשרות list כדי להציג את השם והמטא-נתונים של המפתח שזה עתה יצרתם.

gcloud kms keys list \
    --location "global" \
    --keyring "test"

הפרטים שמוצגים הם:

NAME                                                                      PURPOSE          PRIMARY_STATE
projects/PROJECT_ID/locations/global/keyRings/test/cryptoKeys/quickstart  ENCRYPT_DECRYPT  ENABLED

הצפנת נתונים

עכשיו, כשיש לכם מפתח, אתם יכולים להשתמש בו כדי להצפין טקסט או תוכן בינארי.

מאחסנים טקסט מסוים שצריך להצפין בקובץ בשם mysecret.txt.

echo -n "Some text to be encrypted" > mysecret.txt

כדי להצפין את הנתונים באמצעות gcloud kms encrypt, צריך לספק את פרטי המפתח, לציין את שם הקובץ של הטקסט הפשוט שרוצים להצפין ולציין את שם הקובץ שיכיל את התוכן המוצפן:

gcloud kms encrypt \
    --location "global" \
    --keyring "test" \
    --key "quickstart" \
    --plaintext-file ./mysecret.txt \
    --ciphertext-file ./mysecret.txt.encrypted

בשיטה encrypt, התוכן המוצפן נשמר בקובץ שצוין באמצעות הדגל --ciphertext-file.

פענוח טקסט מוצפן

כדי לפענח את הנתונים באמצעות gcloud kms decrypt, צריך לספק את פרטי המפתח, לציין את שם הקובץ המוצפן (קובץ טקסט מוצפן) שרוצים לפענח ולציין את שם הקובץ שיכיל את התוכן המפוענח:

gcloud kms decrypt \
    --location "global" \
    --keyring "test" \
    --key "quickstart" \
    --ciphertext-file ./mysecret.txt.encrypted \
    --plaintext-file ./mysecret.txt.decrypted

השיטה decrypt שומרת את התוכן המפוענח בקובץ שצוין באמצעות הדגל --plaintext-file.

כדי לפענח תוכן מוצפן, צריך להשתמש באותו מפתח ששימש להצפנת התוכן.

הסרת המשאבים

כדי לא לצבור חיובים בחשבון על המשאבים שבהם השתמשתם בדף הזה, אתם צריכים למחוק את הפרויקט יחד עם המשאבים. Cloud de Confiance Cloud de Confiance

מציגים את הגרסאות שזמינות למפתח:

gcloud kms keys versions list \
    --location "global" \
    --keyring "test" \
    --key "quickstart"

כדי להשמיד גרסה, מריצים את הפקודה הבאה, כאשר 1 הוא מספר הגרסה של המפתח שרוצים להשמיד:

gcloud kms keys versions destroy 1 \
    --location "global" \
    --keyring "test" \
    --key "quickstart"

המאמרים הבאים

מתחילים להשתמש ב-API.
מידע נוסף זמין במאמר בנושא הפניית API.
מידע נוסף על הצפנת נתונים במנוחה