このページの一部またはすべての情報は、S3NS の Cloud de Confiance に適用されない場合があります。詳細については、Google Cloud との違いをご確認ください。

Cloud KMS で暗号鍵を作成する

このクイックスタートでは、所有するプロジェクトで Cloud Key Management Service を使用して暗号鍵を作成、使用する方法について説明します。この手順では、 Cloud de Confiance コンソールを使用して、 Cloud KMS でキーリング、鍵、鍵バージョンを作成します。他の方法を使用する手順については、 Autokey の概要、キーリングを作成する、鍵を作成するをご覧ください。

このクイックスタートでは、コマンドラインを使用して Cloud KMS API にリクエストを送信します。クライアントライブラリを使用して Cloud KMS API にリクエストを送信するプログラミングの例については、暗号化と復号をご覧ください。

始める前に

Google Cloud CLI をインストールします。
フェデレーション ID（連携 ID）を使用するように gcloud CLI を構成します。

詳細については、連携 ID を使用して gcloud CLI にログインするをご覧ください。
gcloud CLI を初期化するには、次のコマンドを実行します:
```
gcloud init
```
プロジェクトを Cloud de Confiance 作成または選択します。
プロジェクトを選択または作成するために必要なロール
- プロジェクトを選択する: プロジェクトの選択に特定の IAM ロールは必要ありません。ロールが付与されているプロジェクトを選択できます。
- プロジェクトを作成する: プロジェクトを作成するには、プロジェクト作成者ロール（roles/resourcemanager.projectCreator）が必要です。これには resourcemanager.projects.create 権限が含まれています。詳しくは、ロールを付与する方法をご覧ください。
注: この手順で作成するリソースをそのまま保持する予定でない場合、既存のプロジェクトを選択するのではなく、新しいプロジェクトを作成してください。チュートリアルの終了後にそのプロジェクトを削除すれば、プロジェクトに関連するすべてのリソースを削除できます。
- プロジェクトを作成する Cloud de Confiance
```
gcloud projects create PROJECT_ID
```
  PROJECT_ID は、作成する Cloud de Confiance プロジェクトの名前に置き換えます。
- 作成した Cloud de Confiance プロジェクトを選択します。
```
gcloud config set project PROJECT_ID
```
  PROJECT_ID は、 Cloud de Confiance プロジェクトの名前に置き換えます。
プロジェクトで課金が有効になっていることを確認します Cloud de Confiance 。
Cloud KMS API を有効化します。
API を有効にするために必要なロール
API を有効にするには、権限を含む Service Usage 管理者 IAM ロール（roles/serviceusage.serviceUsageAdmin）が必要です。serviceusage.services.enable詳しくは、ロールを付与する方法をご覧ください。
```
gcloud services enable cloudkms.googleapis.com
```

ユーザーアカウントにロールを付与します。次の IAM ロールごとに次のコマンドを 1 回実行します。 roles/cloudkms.admin, roles/cloudkms.cryptoKeyEncrypterDecrypter
```
gcloud projects add-iam-policy-binding PROJECT_ID --member="user:USER_IDENTIFIER" --role=ROLE
```
次のように置き換えます。
- PROJECT_ID: プロジェクト ID。
- USER_IDENTIFIER: ユーザーアカウントの識別子。アカウント。例については、 IAM ポリシーで Workforce プールユーザーを表すをご覧ください。
- ROLE: ユーザーアカウントに付与する IAM ロール。

鍵リングと鍵

コンテンツを暗号化および復号するには、鍵リングの一部である Cloud KMS 鍵が必要です。

test という名前の鍵リングと quickstart という名前の鍵を作成します。これらのオブジェクトとその関係について詳しくは、オブジェクト階層の概要をご覧ください。

gcloud kms keyrings create "test" \
    --location "global"

gcloud kms keys create "quickstart" \
    --location "global" \
    --keyring "test" \
    --purpose "encryption"

list オプションを使用すると、作成した鍵の名前とメタデータを表示できます。

gcloud kms keys list \
    --location "global" \
    --keyring "test"

以下のように表示されます。

NAME                                                                      PURPOSE          PRIMARY_STATE
projects/PROJECT_ID/locations/global/keyRings/test/cryptoKeys/quickstart  ENCRYPT_DECRYPT  ENABLED

データの暗号化

鍵が作成されたので、その鍵を使用してテキストまたはバイナリのコンテンツを暗号化できます。

暗号化するテキストを mysecret.txt というファイルに保存します。

echo -n "Some text to be encrypted" > mysecret.txt

gcloud kms encrypt でデータを暗号化します。鍵情報を入力して、暗号化するプレーンテキストファイルの名前を指定し、暗号化されたコンテンツを含むファイルの名前を指定します。

gcloud kms encrypt \
    --location "global" \
    --keyring "test" \
    --key "quickstart" \
    --plaintext-file ./mysecret.txt \
    --ciphertext-file ./mysecret.txt.encrypted

encrypt メソッドを使用して、暗号化されたコンテンツを --ciphertext-file フラグで指定したファイルに保存します。

暗号テキストの復号

gcloud kms decrypt でデータを復号します。鍵情報を入力して、暗号化されたファイル（暗号テキストファイル）の名前を指定し、復号後のコンテンツを含むファイルの名前を指定します。

gcloud kms decrypt \
    --location "global" \
    --keyring "test" \
    --key "quickstart" \
    --ciphertext-file ./mysecret.txt.encrypted \
    --plaintext-file ./mysecret.txt.decrypted

decrypt メソッドを使用して、復号されたコンテンツを --plaintext-file フラグで指定したファイルに保存します。

暗号化されたコンテンツを復号するには、コンテンツの暗号化に使用したものと同じ鍵を使用する必要があります。

クリーンアップ

このページで使用したリソースについて、アカウントに課金されないようにするには、リソースを含むプロジェクトを削除します。 Cloud de Confiance Cloud de Confiance

自分の鍵で使用できるバージョンを一覧表示します。

gcloud kms keys versions list \
    --location "global" \
    --keyring "test" \
    --key "quickstart"

バージョンを破棄するには、次のコマンドを実行します。1 は破棄する鍵バージョンの番号です。

gcloud kms keys versions destroy 1 \
    --location "global" \
    --keyring "test" \
    --key "quickstart"

次のステップ

API の使用を始めます。
API リファレンスを参照します。
保存データの暗号化方法の詳細を確認します。