Halaman ini menunjukkan cara membuat kunci Cloud External Key Manager (Cloud EKM) di key ring yang ada di Cloud Key Management Service (Cloud KMS).
Sebelum memulai
Sebelum menyelesaikan tugas di halaman ini, Anda memerlukan hal berikut:
-
Resource project untuk menyimpan resource Cloud KMS Anda. Cloud de Confiance Sebaiknya gunakan project terpisah untuk resource Cloud KMS Anda yang tidak berisi resource lain Cloud de Confiance
Catat akun layanan Cloud EKM project Anda. Pada contoh berikut, ganti
PROJECT_NUMBERdengan nomor project project Anda. Cloud de Confiance Informasi ini juga terlihat setiap kali Anda menggunakan Cloud de Confiance konsol untuk membuat kunci Cloud EKM.service-PROJECT_NUMBER@gcp-sa-ekms.s3ns-system.iam.gserviceaccount.com - Nama dan lokasi key ring tempat Anda ingin membuat kunci. Pilih key ring di lokasi yang dekat dengan resource Anda lainnya dan yang mendukung Cloud EKM. Untuk membuat key ring, lihat Membuat key ring.
- Di sistem partner pengelolaan kunci eksternal, berikan Cloud de Confiance akses akun layanan untuk menggunakan kunci eksternal Anda. Perlakukan akun layanan sebagai alamat email. Partner EKM mungkin menggunakan terminologi yang berbeda dengan yang digunakan dalam dokumen ini.
- Untuk membuat kunci EKM melalui VPC, Anda harus membuat koneksi EKM.
Peran yang diperlukan
Untuk mendapatkan izin yang diperlukan untuk membuat kunci,
minta administrator untuk memberi Anda peran IAM Admin Cloud KMS (roles/cloudkms.admin) di project atau resource induk.
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.
Peran bawaan ini berisi izin yang diperlukan untuk membuat kunci. Untuk melihat izin yang benar-benar diperlukan, perluas bagian Izin yang diperlukan:
Izin yang diperlukan
Izin berikut diperlukan untuk membuat kunci:
-
cloudkms.cryptoKeys.create -
cloudkms.cryptoKeys.get -
cloudkms.cryptoKeys.list -
cloudkms.cryptoKeyVersions.create -
cloudkms.cryptoKeyVersions.get -
cloudkms.cryptoKeyVersions.list -
cloudkms.keyRings.get -
cloudkms.keyRings.list -
cloudkms.locations.get -
cloudkms.locations.list -
resourcemanager.projects.get -
Untuk mengambil kunci publik:
cloudkms.cryptoKeyVersions.viewPublicKey
Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.
Membuat kunci eksternal terkoordinasi
Konsol
Di Cloud de Confiance konsol, buka halaman Key Management.
Klik nama key ring yang akan Anda buat kunci.
Klik Create key.
Untuk Key name, masukkan nama untuk kunci Anda.
Untuk Protection level, pilih External.
Untuk External key manager (EKM) connection type, pilih via VPC.
Untuk EKM via VPC connection, pilih koneksi.
Jika Anda tidak memiliki izin
EkmConnection.list, Anda harus memasukkan nama resource koneksi secara manual.Klik Continue.
Di bagian Key material, Anda akan melihat pesan tentang materi kunci baru yang diminta oleh Cloud KMS dan dibuat di EKM Anda. Jika Anda melihat kolom Key path, koneksi EKM melalui VPC yang Anda pilih tidak dikonfigurasi untuk kunci eksternal terkoordinasi.
Konfigurasi setelan kunci lainnya sesuai kebutuhan, lalu klik Create.
Cloud EKM mengirimkan permintaan ke EKM Anda untuk membuat kunci baru. Kunci akan ditampilkan sebagai Pending generation hingga jalur kunci ditampilkan oleh EKM Anda dan kunci Cloud EKM tersedia.
gcloud
Untuk menggunakan Cloud KMS di command line, pertama instal atau upgrade Google Cloud CLI ke versi terbaru.
gcloud kms keys create KEY_NAME \
--keyring KEY_RING \
--location LOCATION \
--purpose PURPOSE \
--default-algorithm ALGORITHM \
--protection-level "external-vpc" \
--crypto-key-backend VPC_CONNECTION_RESOURCE_ID
Ganti kode berikut:
KEY_NAME: nama kunci.KEY_RING: nama key ring yang berisi kunci.LOCATION: lokasi Cloud KMS key ring.PURPOSE: tujuan kunci.ALGORITHM: algoritma yang akan digunakan untuk kunci, misalnyagoogle-symmetric-encryption. Untuk mengetahui daftar algoritma yang didukung, lihat Algoritma.VPC_CONNECTION_RESOURCE_ID: ID resource koneksi EKM.
Untuk mengetahui informasi tentang semua flag dan nilai yang mungkin, jalankan perintah dengan flag --help.