从the documentation还不清楚如何在 Google App Engine Standard 上使用 Google key 管理系统 (KMS),特别是在使用开发服务器进行本地开发时。
它看起来相当简单:
- 在 Python 虚拟环境中安装
google-api-python-client
(并在appengine_config.json 中添加带有
)google.appengine.ext.vendor
的 virtualenv 路径)。 py - 正在导入
googleapiclient.discovery
- 使用
google.appengine.api.app_identity
获取应用身份 - 以预期/记录的方式使用
kms
客户端
...然后按照文档中链接的教程进行操作。然而,到目前为止,我的尝试尚未取得成功,并且文档似乎还需要一些步骤。
感觉就像我正在开辟新天地,我相信其他人一定已经这样做了。
有人记录过在 App Engine Standard 及其本地开发服务器上使用 Google KMS 的情况吗?
编辑 - 使用代码示例更新
这里有一些代码可以说明问题——问题似乎出在我的默认凭据设置上。
mykms.py
import googleapiclient.discovery
from google.appengine.api import app_identity
from oauth2client.client import GoogleCredentials
credentials = GoogleCredentials.get_application_default()
PROJECT = 'my-crypto-project'
IS_LOCAL = True
LOCATION = 'global'
TESTING_KR = 'testing-keyring'
KEY_RING = TESTING_KR if IS_LOCAL else app_identity.get_application_id()
kms = googleapiclient.discovery.build('cloudkms', 'v1', credentials=credentials)
def encrypt(plaintext, cryptokey, keyring=KEY_RING, location=LOCATION):
name = 'projects/{}/locations/{}/keyRings/{}/cryptoKeys/{}'.format(
PROJECT, location, keyring, cryptokey
)
cryptokeys = kms.projects().locations().keyRings().cryptoKeys()
request = cryptokeys.encrypt(name=name, body={'plaintext': plaintext})
return request.execute()
def decrypt(ciphertext, cryptokey, keyring=KEY_RING, location=LOCATION):
name = 'projects/{}/locations/{}/keyRings/{}/cryptokey'.format(
PROJECT, location, keyring
)
cryptokeys = kms.projects().locations().keyRings().cryptoKeys()
request = cryptokeys.decrypt(name=name, body={'ciphertext': ciphertext})
return request.execute()
现在通过 dev_appserver.py
调用:
import mykms
mykms.encrypt("my text", cryptokey="my-key-ring")
给出错误:
HttpError: https://cloudkms.googleapis.com/v1/projects/np-crypto/locations/global/keyRings/localhost-testing/cryptoKeys/machine-identifiers:encrypt?alt=json returned "Request had invalid authentication credentials. Expected OAuth 2 access token, login cookie or other valid authentication credential. See https://developers.google.com/identity/sign-in/web/devconsole-project.">
这并不是特别有帮助,因为主要关注的是网站上的 Google 登录;但是,当我从命令行导入 mykms
时,出现错误:
The Application Default Credentials are not available. They are available if running in Google Compute Engine. Otherwise, the environment variable GOOGLE_APPLICATION_CREDENTIALS must be defined pointing to a file defining the credentials. See https://developers.google.com/accounts/docs/application-default-credentials for more information.
目前这似乎是正确的线索。将其清除并报告回来。
编辑#2
应用程序现在似乎已连接到 KMS。我删除并重新登录gcloud auth application-default login
。
但是,有一个奇怪的副作用 - 似乎有东西正在扫描驱动器,并且数百条消息(似乎对于根目录中的每个可访问目录都有一条),如下所示,日志困惑:
INFO 30 Jun 2017 20:06:57 Sandbox prevented access to file "/Users"
INFO 30 Jun 2017 20:06:57 If it is a static file, check that
application_readable: true
is set in your app.yaml
最佳答案
如果您在 GAE 中使用 Cloud KMS 进行开发,则没有本地开发服务,您只能与收集到的主要生产服务进行通信。您可以按照详细说明使用这些库进行本地开发,但仍会投入生产。
请注意,您必须为 GAE 应用程序提供默认凭据以及使用范围,请参阅 https://cloud.google.com/kms/docs/accessing-the-api#google_app_engine
如果您使用
gcloud iam service-accounts key
和 gcloud auth activate-service-account
。
一般来说,对于开发环境,您可能希望将其从生产资源中分割为单独的 KeyRing(甚至单独的项目)。
关于python - AppEngine/Python 和开发 AppServer 上的 Google KMS,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/44826934/