从the documentation不清楚如何在Google App Engine Standard上使用Google密钥管理系统(KMS),尤其是在使用开发服务器进行本地开发时。
它看起来很合理:
google-api-python-client(并在google.appengine.ext.vendor中添加带appengine_config.py的virtualenv路径)googleapiclient.discovery google.appengine.api.app_identity kms客户端...然后按照文档中链接的教程进行操作。然而,到目前为止,我的尝试并没有取得成功,而且文档似乎还需要几个步骤。
我觉得我确信其他人必须已经开辟了新的基础。
有没有人记录在App Engine Standard&它的本地开发服务器?
这里有一些代码照亮 - 问题似乎与我的默认凭据设置有关。
mykms.py import googleapiclient.discovery
from google.appengine.api import app_identity
from oauth2client.client import GoogleCredentials
credentials = GoogleCredentials.get_application_default()
PROJECT = 'my-crypto-project'
IS_LOCAL = True
LOCATION = 'global'
TESTING_KR = 'testing-keyring'
KEY_RING = TESTING_KR if IS_LOCAL else app_identity.get_application_id()
kms = googleapiclient.discovery.build('cloudkms', 'v1', credentials=credentials)
def encrypt(plaintext, cryptokey, keyring=KEY_RING, location=LOCATION):
name = 'projects/{}/locations/{}/keyRings/{}/cryptoKeys/{}'.format(
PROJECT, location, keyring, cryptokey
)
cryptokeys = kms.projects().locations().keyRings().cryptoKeys()
request = cryptokeys.encrypt(name=name, body={'plaintext': plaintext})
return request.execute()
def decrypt(ciphertext, cryptokey, keyring=KEY_RING, location=LOCATION):
name = 'projects/{}/locations/{}/keyRings/{}/cryptokey'.format(
PROJECT, location, keyring
)
cryptokeys = kms.projects().locations().keyRings().cryptoKeys()
request = cryptokeys.decrypt(name=name, body={'ciphertext': ciphertext})
return request.execute()
现在通过dev_appserver.py致电:
import mykms
mykms.encrypt("my text", cryptokey="my-key-ring")
给出错误:
HttpError:https://cloudkms.googleapis.com/v1/projects/np-crypto/locations/global/keyRings/localhost-testing/cryptoKeys/machine-identifiers:encrypt?alt=json返回"请求有无效的身份验证凭据预期的OAuth 2访问令牌,登录cookie或其他有效的身份验证凭据。请参阅https://developers.google.com/identity/sign-in/web/devconsole-project。">
这并不是特别有用,主要是关注网站上的Google登录;但是,当我从命令行导入mykms时,我收到错误:
应用程序默认凭据不可用。如果在Google Compute Engine中运行,则可以使用它们。否则,必须定义环境变量GOOGLE_APPLICATION_CREDENTIALS,指向定义凭证的文件。有关详细信息,请参阅https://developers.google.com/accounts/docs/application-default-credentials。
这似乎是现在正确的领先优势。将其清除并报告回来。
该应用程序现在似乎已连接到KMS。我删除并重新登录gcloud auth application-default login。
然而,有一个奇怪的副作用 - 似乎是扫描驱动器,数百条消息(似乎是每个可访问目录的一个来自root),如下面的日志:
INFO 30 Jun 2017 20:06:57 Sandbox阻止访问文件" /用户"
INFO 30 Jun 2017 20:06:57如果是静态文件,请检查app.yaml中是否设置了
application_readable: true
答案 0 :(得分:2)
如果您在GAE中使用Cloud KMS进行开发,则没有本地开发服务,您只能在收集时与主要生产服务进行通信。您可以使用这些库,因为您已经详细地在本地开发,但仍然可以进行生产。
请注意,您必须提供具有使用范围的GAE应用程序默认凭据,请参阅https://cloud.google.com/kms/docs/accessing-the-api#google_app_engine
如果您使用,您还可以将请求作为GAE服务帐户
<div class="topinfo">
<div id="images">
<div class="img1">
<h1 class="">- About -</h1>
<img src="https://mycodingtest.files.wordpress.com/2017/04/lljpxsf3gbe-nick-turner.jpg?w=825" width="340" height="240" class="">
<p class="">This is just a short excerpt for the about page.</p>
</div>
<div class="img2">
<h1 class="">- Contact -</h1>
<img src="https://mycodingtest.files.wordpress.com/2017/04/portfolio-7.jpg?w=825" width="340" height="240" class="">
<p class="">This is just a short excerpt for the contact page.</p>
</div>
<div class="img3">
<h1 class="">- Page -</h1>
<img src="https://mycodingtest.files.wordpress.com/2017/04/photography-349870_19201.jpg?w=825" width="340" height="240" class="">
<p class="">This is just a short excerpt for the page.</p>
</div>
</div>
</div>
和gcloud iam service-accounts keys。
通常,对于开发环境,您可能希望将其作为单独的KeyRing(甚至是单独的项目)与生产资源进行细分。