使用 Cloud KMS 加密及解密資料

1. 總覽

Cloud KMS 是雲端託管型金鑰管理服務,能讓您比照內部部署方式,管理雲端服務加密編譯金鑰。支援使用各種金鑰類型和來源 (包括硬體支援的金鑰 Cloud HSM) 進行加密、解密、簽署和驗證。本教學課程說明如何使用對稱 Cloud KMS 金鑰加密及解密資料。

學習內容

  • 如何啟用 Cloud KMS API
  • 如何建立 Cloud KMS 金鑰環
  • 如何建立 Cloud KMS 加密編譯金鑰,用於對稱加密/解密
  • 如何輪替對稱 Cloud KMS 加密編譯金鑰

2. 設定和需求

自修實驗室環境設定

  1. 登入 Cloud 控制台,建立新專案或重複使用現有專案。(如果沒有 Gmail 或 G Suite 帳戶,請先建立帳戶)。

dMbN6g9RawQj_VXCSYpdYncY-DbaRzr2GbnwoV7jFf1u3avxJtmGPmKpMYgiaMH-qu80a_NJ9p2IIXFppYk8x3wyymZXavjglNLJJhuXieCem56H30hwXtd8PvXGpXJO9gEUDu3cZw

ci9Oe6PgnbNuSYlMyvbXF1JdQyiHoEgnhl4PlV_MFagm2ppzhueRkqX4eLjJllZco_2zCp0V0bpTupUSKji9KkQyWqj11pqit1K1faS1V6aFxLGQdkuzGp4rsQTan7F01iePL5DtqQ

8-tA_Lheyo8SscAVKrGii2coplQp2_D1Iosb2ViABY0UUO1A8cimXUu6Wf1R9zJIRExL5OB2j946aIiFtyKTzxDcNnuznmR45vZ2HMoK3o67jxuoUJCAnqvEX6NgPGFjCVNgASc-lg

請記住專案 ID,這是所有 Google Cloud 專案中不重複的名稱 (上述名稱已遭占用,因此不適用於您,抱歉!)。本程式碼研究室稍後會將其稱為 PROJECT_ID

  1. 接著,您必須在 Cloud 控制台中啟用帳單,才能使用 Google Cloud 資源。

完成本程式碼研究室的費用應該不高,甚至完全免費。請務必按照「清除」部分的指示操作,瞭解如何停用資源,避免在本教學課程結束後繼續產生帳單費用。Google Cloud 新使用者可參加價值$300 美元的免費試用計畫。

啟動 Cloud Shell

在本程式碼研究室中,您將使用 Cloud Shell。這是在 Google Cloud 上執行的免費虛擬化環境。在 GCP 主控台,按一下右上角工具列的 Cloud Shell 圖示:

vezHz_9nBUSt_0pD8eMHkzgHehRa83ILgMpcztEJtGZspECiZTk47O02PYk6Zp7jyStful3AIDEZU8qcCNbiXF4WcpkUdJi2LoUbxTWg4cZ4skDnvGKNywBZlDBzzWha111IZ1KqXQ

佈建並連線至環境的作業需要一些時間才能完成。完成後,您應該會看到如下的內容:

wQQCzLZ7_omk2cuoBaKVPnniKDFG6MsP8h2OA0j3Iw9LRSFQ9TkD6Ccq4dcUASPoD5UKe1Ur7bIgYn5gAh2r6BlQDnpFmgyAtv9x2D6ppXS0pfjfxViuEfoetgLvgVeduekc2hgU2Q

這部虛擬機器搭載各種您需要的開發工具,並提供永久的 5GB 主目錄,而且可在 Google Cloud 運作,大幅提升網路效能並強化驗證功能。除非另有指示,否則請透過這個殼層執行所有指令。

3. 啟用 Cloud KMS 服務

如要使用 Cloud KMS,請先在專案中啟用這項服務。每項專案只需要執行一次。如要啟用 Cloud KMS 服務,請執行下列指令:

$ gcloud services enable cloudkms.googleapis.com \
    --project "${GOOGLE_CLOUD_PROJECT}"

啟用程序最多需要一分鐘。指令完成時會回報成功。

4. 建立 KMS 金鑰

建立 Cloud KMS 金鑰環。在 Cloud KMS 中,金鑰環是加密編譯金鑰的邏輯集合。金鑰環包含金鑰的中繼資料,例如金鑰位置。在 global 區域中建立名為 my-keyring 的金鑰環:

$ gcloud kms keyrings create "my-keyring" \
    --location "global"

現在,在您剛建立的金鑰環中,建立名為 my-symmetric-key 的 CryptoKey,並將用途設為 encryption

$ gcloud kms keys create "my-symmetric-key" \
    --location "global" \
    --keyring "my-keyring" \
    --purpose "encryption"

5. 加密資料

建立含有待加密資料的檔案,並使用 gcloud 指令列工具加密檔案中的資料:

$ echo "my-contents" > ./data.txt

$ gcloud kms encrypt \
    --location "global" \
    --keyring "my-keyring" \
    --key "my-symmetric-key" \
    --plaintext-file ./data.txt \
    --ciphertext-file ./data.txt.enc

加密資料 (也稱為「密文」) 會儲存在磁碟上的 data.txt.enc 中。開啟 data.txt.enc 檔案後,您會發現檔案含有無法列印的奇怪字元。這是因為產生的資料是二進位格式

將密文儲存在資料庫中,或透過 HTTP 要求傳輸密文時,您可能需要編碼資料。常見的編碼機制是 Base64。

Cloud KMS 不會儲存您提供的任何明文。您必須將這段密文儲存在安全的位置,因為之後需要這段密文才能擷取明文值。

6. 解密資料

使用 gcloud 指令列工具解密檔案中的密文:

$ gcloud kms decrypt \
    --location "global" \
    --keyring "my-keyring" \
    --key "my-symmetric-key" \
    --plaintext-file - \
    --ciphertext-file ./data.txt.enc

gcloud 指令列工具會從檔案讀取密文,並使用 Cloud KMS 解密。請注意,這個範例會將 --plaintext-file 引數指定為 -。這會指示 gcloud 將結果列印到終端機。

控制台會列印 my-contents,這與上述檔案中的純文字值相同。

7. 輪替金鑰

在 Cloud KMS 中,加密編譯金鑰實際上是加密編譯金鑰版本的集合。您可以建立新的加密編譯金鑰版本,執行金鑰輪替。Cloud KMS 也能依時間表自動輪替金鑰

如要手動輪替金鑰,請建立新的加密金鑰版本,並將其設為主要版本:

$ gcloud kms keys versions create \
    --location "global" \
    --keyring "my-keyring" \
    --key "my-symmetric-key" \
    --primary

日後所有加密資料的要求都會使用這個新金鑰。您仍可使用舊金鑰解密先前以這些金鑰加密的資料。Cloud KMS 會根據提供的密文自動判斷適當的解密金鑰,您不必指定要使用哪個加密編譯金鑰版本進行解密。

如要防止 Cloud KMS 使用舊版加密編譯金鑰解密密文值,可以停用或銷毀該加密編譯金鑰版本。停用是可復原的作業,但刪除是永久作業。如要停用版本,請按照下列步驟操作:

$ gcloud kms keys versions disable "1" \
    --location "global" \
    --keyring "my-keyring" \
    --key "my-symmetric-key"

8. 恭喜!

您已啟用 Cloud KMS API、建立對稱式加密金鑰,並加密及解密資料!Cloud KMS 是功能強大的產品,加密/解密只是其中一小部分功能。

清理

探索完畢後,請考慮刪除專案。

  • 前往 Cloud Platform Console
  • 選取要關閉的專案,然後按一下頂端的「刪除」。系統會排定刪除專案的時間。

瞭解詳情

授權

這項內容採用的授權為 Creative Commons 姓名標示 2.0 通用授權。