问题标签 [google-cloud-kms]

如果我不手动执行，KMS 会在一段时间后自动生成新的密钥版本吗？如果我创建一个密钥并将其用于加密（而不是指定轮换周期或下一个轮换时间），相同的密钥是否会永远存在而不创建新版本？

我记得几天前阅读它会在文档的某个地方自动完成，现在我找不到那个页面。

我正在按照教程使用谷歌云公里加密数据，但是当我尝试加密时给我 404 错误。我在代码中搜索并注意到它具有 DEFAULT_ROOT_URL = https://cloudkms.googleapis.com/。但是 URL 的根没有出现在 URL 中，然后当然会给出错误 404。有人可以告诉我为什么 URL 没有正确安装。我查看了属性，没有 Root_URL 的参考。

`

/v1beta1/projects/condoease-3f3ea/locations/global/keyRings/test/cryptoKeys/quickstart:encrypt在此服务器上找不到请求的 URL 。我们知道的就这些。

`

https://codelabs.developers.google.com/codelabs/cloud-bookshelf-java-cloud-kms/index.html#0

下载其他 Bookshelf 应用程序文件后出现以下错误（步骤 7）

[错误] 无法在项目 bookshelf-3 上执行目标 org.eclipse.jetty:jetty-maven-plugin:9.3.8.v20160314:run-exploded (default-cli)：执行目标 org.eclipse.jetty 的 default-cli :jetty-maven-plugin:9.3.8.v20160314:run-exploded failed: 执行 org.eclipse.jetty:jetty-maven-plugin:9.3.8.v20160314:run-exploded: java.lang 时遇到 API 不兼容.NoSuchMethodError: com.google.cloud.ServiceOptions.(Ljava/lang/Class;Ljava/lang/Class;Lcom/google/cloud/ServiceOptions$Builder;Lcom/google/cloud/ServiceDefaults;)

https://codelabs.developers.google.com/codelabs/cloud-bookshelf-java-cloud-kms/index.html#0

在此处的文档中，您不能为 Python 客户端中的键指定名称（名称为“仅输出”）。但是，使用 CLI 工具，您可以指定密钥的名称（此处为 KEY_NAME）ala gcloud kms keys create KEY_NAME --location LOCATION --keyring KEYRING_NAME --purpose encryption。这个功能在 Python API 中不可用吗？

我有一个使用 Cloud KMS 加密的加密文本，我需要从 Cloud ML Engine 中运行的代码的上下文中对其进行解密。但是我遇到了以下错误：

我尝试使用和范围创建GoogleCredential对象，但最终出现相同的错误。如果我在这里遗漏了什么，请告诉我。"https://www.googleapis.com/auth/cloudkms""https://www.googleapis.com/auth/cloud-all"

PS：我确实有一个有效的GoogleCredential对象，因为我可以打印访问令牌。

我需要知道发送到 Google CloudKMS 的plaintext/ciphertext以及用于身份验证的公钥/私钥在传输过程中是安全的，但我不知道如何证明这一点。

根据KMS 文档，我创建了一个服务帐户，下载了 JSON 密钥文件，并通过环境变量将其连接起来GOOGLE_APPLICATION_CREDENTIALS=/path/to/service-account-key.json。

我正在使用google-api-client gem（在0.10.313 个月前发布的版本，因为我mime-types >= 3.0在使用 padrino-mailer 时无法安装：请参阅此提交），已经测试了这些Google::Apis::CloudkmsV1::CloudKMSService方法encrypt_crypto_key，decrypt_crypto_key并且它们运行良好。

我尝试通读google-api-client、googleauth和signet gems 的源代码。我唯一确定的是：

1. JSON密钥文件被加载，private_key值用于OpenSSL::PKey::RSA.new 这里
2. Signet::OAuth2::Client给出了signing_key这个文件中的 RSA 密钥

如果 JSON 密钥文件用于加密通过encrypt_crypto_key调用服务器发送的字符串，同样用于解密由 接收的字符串decrypt_crypto_key，并且另一端的 CloudKMS 服务器的行为类似，我会考虑已证明的安全性。这就是我假设图书馆所做的——端到端加密——但我必须看到它才能相信它。我试图查看 Wireshark 中的流量，但无法理解（也许事实证明了这一点？我不知道）

谁能帮我证明或反驳这种调用 CloudKMS 来加密/解密用户数据的方法——使用google-api-client gem和根据文档下载的 JSON 密钥文件——是否安全？

相关：对于那些感兴趣的人，CloudKMS API 已在路线图中包含在较新的 google-cloud gem中。

我有兴趣将 Google Cloud KMS 用于密钥管理和加密服务。一个问题是我希望能够离线解密加密数据。有什么方法可以保存解密密钥以供离线使用，还是有一些工具可以做到这一点？

我在连接到 Google Cloud Endpoints 的 Endpoints Service Proxy (ESP) 后面部署了一个自定义 gRPC 后端。

发送带有X-Cloud-Trace-Context标头集的请求时，我可以看到 ESP 记录的跨度显示在我的 Stackdriver Trace 仪表板中。

但是，作为处理该请求的一部分，我的服务也会向 Google Cloud KMS 发送请求。我希望 Google Cloud 也自动为我创建这些子请求的跟踪跨度；但是，将X-Cloud-Trace-ContextESP 转发给我的标头附加到发送到 Cloud KMS 的子请求不会导致这些子请求的任何跨度显示在 Stackdriver Trace 中。用于连接到 Cloud KMS 的服务帐号确实启用了“Stackdriver Trace Agent”角色。

是否可以告诉 Google Cloud 服务（例如 Cloud KMS）为当前请求的跟踪上下文自动生成跟踪跨度，或者我是否需要在我的后端代码中手动为这些请求生成跟踪？

是否可以将我手动生成的 AES-256 密钥存储到谷歌云 kms。我成功创建了由 Google 完全管理和创建的密钥，但是如何处理在采用谷歌云之前生成的密钥？

我需要加密 Bq 表中的敏感字段，但我的加载是通过数据流完成的。我想到了 3 种不同的使用方式。

1. 使用客户管理的密钥对整个表进行加密，并对不同的分类进行 3 次查看，并为用户提供服务帐户以访问该视图，并提供该服务帐户角色作为 KMS 中的解密器和数据流服务帐户作为加密器加载表。（问题我们没有视图级别访问权限，因此需要在不同数据集中维护视图，这使我们的工作更加困难）

2. 在加载时使用 Dataflow 中的 API 调用加密字段，并使用服务帐户在运行时在 Bq 中创建一个 UDF 函数来解密该列数据。

   使用 Dataflow 中的 API 调用对示例 ID 字段进行加密我们在 Bq 中定义了一个 UDF 函数来解密它，但只有那些可以在 KMS 中访问的数据才能解密，否则它将引发异常

   通过这种方式，我们保持对所有用户开放的单个表，但只有 Authenticate Use 只能看到那个。

   问题：（在运行时不断调用 API，这使得我们的配额用尽，成本是另一回事）

3. 在不同的数据集中维护不同的表 带有敏感字段的加密表 b. 具有非敏感字段的非加密表。

   问题：（在 Sink 中维护和制作数据并在 BQ 中运行时加入）

以上是我的方法和用例是否有人能够帮助我了解使用什么以及为什么它比其他人更好。