1. Visão geral
O Cloud KMS é um serviço de gerenciamento de chaves hospedado na nuvem que permite gerenciar a criptografia dos seus serviços na nuvem da mesma forma que você faria localmente. Ele inclui suporte para criptografia, descriptografia, assinatura e verificação usando vários tipos e fontes de chaves, incluindo o Cloud HSM para chaves protegidas por hardware. Neste tutorial, você aprende a criptografar e descriptografar dados usando chaves simétricas do Cloud KMS.
You vai aprender
- Como ativar a API Cloud KMS
- Como criar um keyring do Cloud KMS
- Como criar uma chave criptográfica do Cloud KMS para criptografia/descriptografia simétrica
- Como fazer a rotação de uma chave criptográfica simétrica do Cloud KMS
2. Configuração e requisitos
Configuração de ambiente autoguiada
- Faça login no Console do Cloud e crie um novo projeto ou reutilize um existente. Crie uma se você ainda não tiver uma conta do Gmail ou do G Suite.
Lembre-se do código do projeto, um nome exclusivo em todos os projetos do Google Cloud. O nome acima já foi escolhido e não servirá para você. Faremos referência a ele mais adiante neste codelab como PROJECT_ID.
- Em seguida, será necessário ativar o faturamento no Console do Cloud para usar os recursos do Google Cloud.
A execução deste codelab não será muito cara, se for o caso. Siga todas as instruções na seção "Limpeza", que orienta você sobre como encerrar recursos para não incorrer em cobranças além deste tutorial. Novos usuários do Google Cloud estão qualificados para o programa de US$ 300 de avaliação sem custos.
Inicie o Cloud Shell
Neste codelab, você vai usar o Cloud Shell, um ambiente virtualizado sem custo financeiro executado no Google Cloud. No Console do GCP, clique no ícone do Cloud Shell na barra de ferramentas localizada no canto superior direito:
O provisionamento e a conexão com o ambiente levarão apenas alguns instantes para serem concluídos: Quando o processamento for concluído, você verá algo como:
Essa máquina virtual contém todas as ferramentas de desenvolvimento necessárias. Ela oferece um diretório principal permanente de 5 GB, além de ser executada no Google Cloud, o que aprimora o desempenho e a autenticação da rede. A menos que seja instruído de outra forma, execute todos os comandos nesse shell.
3. Ativar o serviço do Cloud KMS
Antes de usar o Cloud KMS, é preciso ativar o serviço no seu projeto. Isso só precisa ser feito uma vez por projeto. Para ativar o serviço do Cloud KMS, execute o seguinte comando:
$ gcloud services enable cloudkms.googleapis.com \
--project "${GOOGLE_CLOUD_PROJECT}"
Isso pode levar até um minuto. O comando vai informar se a operação foi concluída.
4. Criar chave do KMS
Crie um keyring do Cloud KMS. No Cloud KMS, um keyring é uma coleção lógica de chaves criptográficas. O keyring contém metadados sobre as chaves, como a localização delas. Crie um keyring chamado my-keyring na região global:
$ gcloud kms keyrings create "my-keyring" \
--location "global"
Agora crie uma chave de criptografia chamada my-symmetric-key com a finalidade encryption dentro do keyring que você acabou de criar.
$ gcloud kms keys create "my-symmetric-key" \
--location "global" \
--keyring "my-keyring" \
--purpose "encryption"
5. Criptografar dados
Crie um arquivo com os dados a serem criptografados e use a ferramenta de linha de comando gcloud para criptografar os dados no arquivo:
$ echo "my-contents" > ./data.txt
$ gcloud kms encrypt \
--location "global" \
--keyring "my-keyring" \
--key "my-symmetric-key" \
--plaintext-file ./data.txt \
--ciphertext-file ./data.txt.enc
Os dados criptografados (também conhecidos como "texto cifrado") são salvos em data.txt.enc no disco. Se você abrir o arquivo data.txt.enc, vai notar que ele tem caracteres estranhos e não imprimíveis. Isso acontece porque os dados resultantes estão em formato binário.
Ao armazenar o texto criptografado em um banco de dados ou transmiti-lo como parte de uma solicitação HTTP, talvez seja necessário codificar os dados. Um mecanismo de codificação comum é o base64.
O Cloud KMS não armazena nenhum texto simples fornecido. Salve esse texto criptografado em um local seguro, porque ele será necessário para recuperar o valor de texto simples.
6. Descriptografar dados
Descriptografe o texto cifrado do arquivo usando a ferramenta de linha de comando gcloud:
$ gcloud kms decrypt \
--location "global" \
--keyring "my-keyring" \
--key "my-symmetric-key" \
--plaintext-file - \
--ciphertext-file ./data.txt.enc
A ferramenta de linha de comando gcloud lê o texto criptografado do arquivo e o descriptografa usando o Cloud KMS. Neste exemplo, o argumento --plaintext-file é especificado como -. Isso instrui o gcloud a imprimir o resultado no terminal.
O console vai imprimir my-contents, que é o mesmo valor de texto simples do arquivo acima.
7. Alternar chaves
No Cloud KMS, uma chave criptográfica é uma coleção de versões de chaves criptográficas. É possível criar novas versões de chaves de criptografia para realizar a rotação de chaves. O Cloud KMS também pode alternar chaves automaticamente em uma programação.
Para alternar uma chave manualmente, crie uma nova versão da chave de criptografia e defina-a como a versão principal:
$ gcloud kms keys versions create \
--location "global" \
--keyring "my-keyring" \
--key "my-symmetric-key" \
--primary
Todas as solicitações futuras para criptografar dados vão usar essa nova chave. As chaves mais antigas ainda estão disponíveis para descriptografar dados que foram criptografados anteriormente com elas. O Cloud KMS determina automaticamente a chave de descriptografia adequada com base no texto criptografado fornecido. Não é necessário especificar qual versão da chave criptográfica usar para descriptografia.
Para evitar que valores de texto cifrado criptografados com uma versão de chave criptográfica mais antiga sejam descriptografados usando o Cloud KMS, desative ou destrua essa versão. A desativação é uma operação reversível, enquanto a destruição é permanente. Para desativar uma versão:
$ gcloud kms keys versions disable "1" \
--location "global" \
--keyring "my-keyring" \
--key "my-symmetric-key"
8. Parabéns!
Você ativou a API Cloud KMS, criou uma chave de criptografia simétrica e criptografou e descriptografou dados. O Cloud KMS é um produto eficiente, e a criptografia/descriptografia é apenas uma pequena parte dos recursos dele.
Limpeza
Se você já terminou de explorar, considere excluir o projeto.
- Acesse o Console do Cloud Platform.
- Selecione o projeto que você quer desligar e clique em "Excluir" na parte de cima. Isso programa a exclusão do projeto.
Saiba mais
Licença
Este conteúdo está sob a licença Atribuição 2.0 Genérica da Creative Commons.