是否可以将我手动生成的 AES-256 密钥存储到谷歌云 kms。我成功创建了由 Google 完全管理和创建的密钥,但是如何处理在采用谷歌云之前生成的密钥?
问问题
406 次
2 回答
4
Tim 当时的回答是正确的,但Cloud KMS 现在支持 Key Import。
创建导入作业:
$ gcloud kms import-jobs create "my-job" \
--location "us-central1" \
--keyring "my-keyring" \
--import-method "rsa-oaep-4096-sha1-aes-256" \
--protection-level "hsm"
导入您的密钥:
$ gcloud kms keys versions import \
--import-job "my-job" \
--location "us-central1" \
--keyring "my-keyring" \
--key "my-key" \
--algorithm "<algorithm>" \
--target-key-file ./path/to/my.key
于 2019-12-22T17:33:32.130 回答
0
我们目前不支持导入密钥,但即使我们这样做了,我们目前也没有记录加密数据的格式,因此我们无法支持与您自己加密的数据的互操作性。
此用例的解决方案通常是使用 KMS 中的主密钥来包装 AES 密钥,然后将包装的密钥存储在数据存储中。然后,您可以从配置到您部署的代码中的服务帐户身份进行引导,使用它们来授权使用 KMS 来解包您的 AES 密钥,然后使用解包的密钥来加密/解密您的数据。
于 2018-06-04T17:43:55.617 回答