1

从文档中不清楚如何在 Google App Engine 标准上使用 Google 密钥管理系统 (KMS),尤其是在使用开发服务器进行本地开发时。

它看起来相当简单:

  1. 在 Python 虚拟环境中安装(并使用ingoogle-api-python-client添加 virtualenv 路径)google.appengine.ext.vendorappengine_config.py
  2. 输入googleapiclient.discovery
  3. 获取应用程序身份google.appengine.api.app_identity
  4. kms以预期/记录的方式使用客户端

...然后按照文档中链接的教程进行操作。但是,到目前为止,我的尝试并没有成功,而且文档似乎还需要几个步骤。

感觉就像我正在开辟新天地,我相信其他人一定已经拥有了。

有没有人记录在 App Engine Standard 及其本地开发服务器上使用 Google KMS?

编辑 - 使用代码示例更新

这是一些说明问题的代码-问题似乎与我设置的默认凭据有关。

mykms.py

import googleapiclient.discovery
from google.appengine.api import app_identity

from oauth2client.client import GoogleCredentials
credentials = GoogleCredentials.get_application_default()

PROJECT = 'my-crypto-project'
IS_LOCAL = True
LOCATION = 'global'
TESTING_KR = 'testing-keyring'
KEY_RING = TESTING_KR if IS_LOCAL else app_identity.get_application_id()

kms = googleapiclient.discovery.build('cloudkms', 'v1', credentials=credentials)

def encrypt(plaintext, cryptokey, keyring=KEY_RING, location=LOCATION):
    name = 'projects/{}/locations/{}/keyRings/{}/cryptoKeys/{}'.format(
        PROJECT, location, keyring, cryptokey
    )
    cryptokeys = kms.projects().locations().keyRings().cryptoKeys()
    request = cryptokeys.encrypt(name=name, body={'plaintext': plaintext})
    return request.execute()


def decrypt(ciphertext, cryptokey, keyring=KEY_RING, location=LOCATION):
    name = 'projects/{}/locations/{}/keyRings/{}/cryptokey'.format(
        PROJECT, location, keyring
    )
    cryptokeys = kms.projects().locations().keyRings().cryptoKeys()
    request = cryptokeys.decrypt(name=name, body={'ciphertext': ciphertext})
    return request.execute()

现在通过以下方式调用dev_appserver.py

import mykms
mykms.encrypt("my text", cryptokey="my-key-ring")

给出以下错误:

HttpError:https://cloudkms.googleapis.com/v1/projects/np-crypto/locations/global/keyRings/localhost-testing/cryptoKeys/machine-identifiers:encrypt?alt=json 返回“请求的身份验证凭据无效。预期OAuth 2 访问令牌、登录 cookie 或其他有效的身份验证凭据。请参阅https://developers.google.com/identity/sign-in/web/devconsole-project。">

这并不是特别有用,主要是关注网站上的 Google 登录;但是,当我mykms从命令行导入时,出现错误:

应用程序默认凭据不可用。如果在 Google Compute Engine 中运行,它们就可用。否则,必须定义环境变量 GOOGLE_APPLICATION_CREDENTIALS 指向定义凭据的文件。有关详细信息,请参阅https://developers.google.com/accounts/docs/application-default-credentials

这似乎是目前正确的线索。将其冲洗干净并报告回来。

编辑#2

该应用程序现在似乎已连接到 KMS。我删除并重新登录gcloud auth application-default login

但是,有一个奇怪的副作用 - 似乎正在扫描驱动器,并且有数百条消息(似乎是根目录下的每个可访问目录都有一条消息),如下所示:

信息 2017 年 6 月 30 日 20:06:57 沙盒阻止访问文件“/用户”

INFO 2017 年 6 月 30 日 20:06:57 如果它是静态文件,请检查application_readable: true您的 app.yaml 中设置的内容

4

1 回答 1

2

如果您在 GAE 中使用 Cloud KMS 进行开发,则没有本地开发服务,您只能与您收集的主要生产服务进行对话。您可以使用您详细介绍的库在本地开发,但仍会投入生产。

请注意,您必须为 GAE 应用程序提供具有使用范围的默认凭据,请参阅https://cloud.google.com/kms/docs/accessing-the-api#google_app_engine

如果您使用 gcloud iam service-accounts keys和 ,您也可以作为 GAE 服务帐户发出请求gcloud auth activate-service-account

通常,对于开发环境,您可能希望将其从生产资源中分割为单独的 KeyRing(甚至是单独的项目)。

于 2017-06-30T15:33:26.347 回答