Criar chaves de criptografia com o Cloud KMS

Neste guia de início rápido, mostramos como criar e usar chaves de criptografia com o Cloud Key Management Service em um projeto de sua propriedade. Estas instruções usam o consoleTrusted Cloud para criar keyrings, chaves e versões de chaves no Cloud KMS. Para instruções que usam outros métodos, consulte Guias de instruções.

Este guia de início rápido usa a linha de comando para enviar solicitações para a API Cloud KMS. Veja exemplos de programação que usam as bibliotecas do cliente para envio de solicitações para a API Cloud KMS em Criptografia e Descriptografia.

Antes de começar

  1. In the Trusted Cloud console, on the project selector page, select or create a Trusted Cloud project.

    Go to project selector

  2. Verify that billing is enabled for your Trusted Cloud project.

  3. Enable the Cloud KMS API.

    Enable the API

  4. Install the Google Cloud CLI.

  5. Configure a CLI gcloud para usar sua identidade federada.

    Para mais informações, consulte Fazer login na gcloud CLI com sua identidade federada.

  6. Para inicializar a CLI gcloud, execute o seguinte comando: 

    gcloud init

    Keyrings e chaves

    Para criptografar e descriptografar o conteúdo, você precisa de uma chave do Cloud KMS, que faz parte de um keyring.

    Crie um keyring com o nome test e uma chave com o nome quickstart. Consulte a visão geral da hierarquia de objetos para saber mais sobre esses objetos e como eles se relacionam.

    gcloud kms keyrings create "test" \
    --location "global"
    gcloud kms keys create "quickstart" \
    --location "global" \
    --keyring "test" \
    --purpose "encryption"

    Use a opção list para ver o nome e os metadados da chave que acabou de criar.

    gcloud kms keys list \
    --location "global" \
    --keyring "test"

    Você verá:

    NAME                                                                      PURPOSE          PRIMARY_STATE
projects/project-id/locations/global/keyRings/test/cryptoKeys/quickstart  ENCRYPT_DECRYPT  ENABLED

    Criptografar dados

    Agora que você tem uma chave, basta usá-la para criptografar um texto ou conteúdo binário.

    Armazene algum texto a ser criptografado em um arquivo chamado "mysecret.txt".

    echo -n "Some text to be encrypted" > mysecret.txt

    Para criptografar os dados com gcloud kms encrypt, forneça as informações da chave, especifique o nome do arquivo de texto simples a ser criptografado e o nome do arquivo que conterá o conteúdo criptografado:

    gcloud kms encrypt \
    --location "global" \
    --keyring "test" \
    --key "quickstart" \
    --plaintext-file ./mysecret.txt \
    --ciphertext-file ./mysecret.txt.encrypted

    O método encrypt salva o conteúdo criptografado no arquivo especificado pela sinalização --ciphertext-file.

    Descriptografar texto

    Para descriptografar os dados com gcloud kms decrypt, forneça as informações da chave, especifique o nome do arquivo a ser descriptografado e especifique o nome do arquivo com o conteúdo descriptografado:

    gcloud kms decrypt \
    --location "global" \
    --keyring "test" \
    --key "quickstart" \
    --ciphertext-file ./mysecret.txt.encrypted \
    --plaintext-file ./mysecret.txt.decrypted

    O método decrypt salva o conteúdo descriptografado no arquivo especificado pela sinalização --plaintext-file.

    Para fazer isso, use a mesma chave com que o conteúdo foi criptografado.

    Limpar

    Para evitar cobranças na sua conta do Trusted Cloud pelos recursos usados nesta página, siga estas etapas.

    Liste as versões disponíveis para sua chave:

    gcloud kms keys versions list \
    --location "global" \
    --keyring "test" \
    --key "quickstart"

    Para excluir uma versão, execute o seguinte comando, substituindo key-version pelo número da versão de chave a ser excluída:

    gcloud kms keys versions destroy key-version \
    --location "global" \
    --keyring "test" \
    --key "quickstart"

    A seguir