Cloud Key Management Service （KMS）

Google的KMS叫Cloud Key Management Service 相当于Azure的KeyVault，AWS的KMS，最近学习了一下，把其gcloud  kms命令整理下，以防快得老年痴呆的我，哪天又因忘记一个引号啊，空格之类的折腾半宿🥱

如果在平台窗口操作如图所求，在菜单-security-cryptographic keys：

gcp console snapshot平台视图很清新d

在KMS中所有创建的keyring或key都是不有删除的，所以练习的时候请小心啊！建议单独新建一个项目专门管理密钥，与应用分开，这样可以实现安全的职责分离SOD。

“Key rings group keys together to keep them organized.”密钥环我个人感觉就是把key分组归类一起管的一个小🏠， 每个key必须被创建在keyring里边，不允许街上流浪，好在key的房价不贵。

先设置全局项目，要使用project ID不能用project number(why?)，这样后边的每个命令就不用写 --project projectID了。省事儿些。

gcloud config set project google.com:my-first-project-demo

在cloud shell中首先要创建密钥环,就像结婚前要先买🏡一样（不然丈母娘不同意）keyringname名字为mykeys,位置keyringlocation放在global，也可以是任何一个区比如us-east2, Asia-east1.etc 单双引号不限，但要一致。如果之前没设定默认项目，些时要先加上--project参数，而且一定要放在--location之前，不然报错。密钥环是可以同名的，但要位于不同的位置location，因此必须始终指定位置--location

gcloud kms keyrings create "mykeys"  --project "google.com:my-first-project-demo" --location "global"

gcloud kms keyrings create 'test' --location 'asia1'

🏠盖好了可以娶媳妇了，三个参数必须写,此处注意的是--location必须和🏠的位置一样。如图在console创建时是不能改的. 其它的参数为可选，参见--help

gcloud kms keys create "quickstart"   --location "global"   --keyring "mykeys"   --purpose "encryption"

gcp console创建key

查看一下，两个参数顺序不能错，但使用=就不用输入''""了。

gcloud kms keys list --location=global --keyring=mykeys

有了对称密钥key，当然就要用它对明文加密encrypt，再对密文解密decrypt

gcloud kms encrypt \
--location "global" \
--keyring "test" \
--key "quickstart" \
--plaintext-file ./mysecret.txt \
--ciphertext-file ./mysecret.txt.encrypted

gcloud kms decrypt \
--location "global" \
--keyring "test" \
--key "quickstart" \
--ciphertext-file ./mysecret.txt.encrypted \
--plaintext-file ./mysecret.txt.decrypted