Cloud KMS とは

cloud.google.com

Cloud KMS は GCP で提供されている鍵管理サービスです。(Cloud Key Management Service )
GAE上で秘匿情報を管理したいときに Datastoreにそのまま入れるのも...
secret.yaml を作ってリポジトリ管理外にして app.yaml で include してというのも...
と思っていたら、Cloud KMS がとっくにSLA適用されていて結構使っている人が多いので触ってみることにしました。

Cloud KMS のオブジェクト階層

アクセス制御を管理するために設計された階層構造に、CryptKey(暗号鍵)を格納します。

• Project - プロジェクト
• Location - ロケーション
• KeyRing - キーリング
• Key - 鍵
• Key Version - 鍵バージョン

この構造のリソース (KeyRing, CryptKey) へのアクセスは、Cloud IAM で制御できます。

手順

※ 注意点

• KeyRing と Key は無効化はできますが削除ができないので、自分みたいに適当な KeyRing を作成してしまうとゴミが残ってしまうので気をつけましょう...

Cloud KMS API を有効にする

• 課金が有効になっているプロジェクトで Cloud KMS API を有効に する。

KeyRing を作成する

• GCP Console > Security > Cryptographic Keys を開く
• [Create Key Ring] をクリック
• Key ring name を入力し Key ring location を選択して [Create]
  • KeyRing は、Key をグルーピングする粒度の名前
  • KeyRing Location は基本 global で良いらしいが、公式ドキュメント を見るとパフォーマンスを考慮するなら特定region(サービスを提供する地域)を選択せよとのこと

Key を作成

• KeyRing を作成したら [Create Key] クリック
• Key Name、Purpose、Rotation 等を入力して [Create]
  • Rotation は、新しく Key Version が作成されるスケジュールの設定
  • Rotation を設定しても古い Version の Key が使えなくなるわけではない
  • 古い Key Version を無効化するには、 破棄のスケジュール登録 が別途必要になる

作成フォーム

作成後

Key を使って暗号化/復号化

Cloud KMS のクラインアントライブラリ には C#/Go/Java/Node.js/PHP/Python/Ruby が用意されてます。

Goで書くとこんなイメージ

base64でエンコード/デコードする必要があるくらいです。

import (
    "encoding/base64"
    "fmt"

    "golang.org/x/net/context"
    "golang.org/x/oauth2/google"
    "google.golang.org/api/cloudkms/v1"
)

// KMSClient is a client to access Cloud KMS
type KMSClient struct {
    keypath string
    service *cloudkms.ProjectsLocationsKeyRingsCryptoKeysService
}

// KMSOptions means the options for constructor
type KMSOptions struct {
    ProjectID, Location, KeyRing, CryptoKey string
}

// NewKMSClient makes KMS client
func NewKMSClient(ctx context.Context, opt *KMSOptions) (*KMSClient, error) {
    client, err := google.DefaultClient(ctx, cloudkms.CloudPlatformScope)
    if err != nil {
        return nil, fmt.Errorf("failed DefaultClient. error: %v", err)
    }
    cloudkmsService, err := cloudkms.New(client)
    if err != nil {
        return nil, fmt.Errorf("failed cloudkms.New. error: %v", err)
    }

    keyPath := fmt.Sprintf("projects/%s/locations/%s/keyRings/%s/cryptoKeys/%s",
        opt.ProjectID, opt.Location, opt.KeyRing, opt.CryptoKey)

    return &KMSClient{
        keypath: keyPath,
        service: cloudkmsService.Projects.Locations.KeyRings.CryptoKeys,
    }, nil
}

// Encrypt encrypts plaintext
func (k *KMSClient) Encrypt(plaintext string) (string, error) {
    resp, err := k.service.Encrypt(k.keypath, &cloudkms.EncryptRequest{
        Plaintext: base64.StdEncoding.EncodeToString([]byte(plaintext)),
    }).Do()
    if err != nil {
        return "", fmt.Errorf("failed to encrypt. error: %v", err)
    }
    return resp.Ciphertext, nil
}

// Decrypt decrypts ciphertext
func (k *KMSClient) Decrypt(ciphertext string) (string, error) {
    resp, err := k.service.Decrypt(k.keypath, &cloudkms.DecryptRequest{
        Ciphertext: ciphertext,
    }).Do()
    if err != nil {
        return "", fmt.Errorf("failed to ecrypt. error: %v", err)
    }
    text, err := base64.StdEncoding.DecodeString(resp.Plaintext)
    if err != nil {
        return "", fmt.Errorf("failed base64 decode. error: %v", err)
    }
    return string(text), nil
}

こんなとき

StackDriver のコンソール上から Policy を ON/OFF したいけど、いくら押しても反映されない・・・

なぜか結構発生する・・・・

どうする

コンソールから操作できないなら、gcloudコマンドがあるじゃない！

▼公式ドキュメント
https://cloud.google.com/logging/docs/reference/tools/gcloud-logging

Cloud SDK のインストール

ローカルに入れてない人は入れよう。
https://cloud.google.com/sdk/docs/

SDK が古い人はアップデートしよう。

gcloud components update

※ 2018/09 時点では gcloud Alpha Commands

Project ID をセット

設定をしたい GCPプロジェクトを指定する。

gcloud config set project [PROJECT_ID]

ログイン

gcloud auth login

ブラウザが立ちあがるのでブラウザ上でログイン

Policy の ON/OFF

gcloudコマンドで実行。

# アラートのオン
gcloud alpha monitoring policies update [POLICY_ID] --enabled
# アラートのオフ
gcloud alpha monitoring policies update [POLICY_ID] --no-enabled

※ [POLICY_ID] = StackDriverのURLに含まれている数値

反映されていることを確認

off になった！><

(2018/02/24 追記) PATHにまるっと追加した方が楽というご意見いただいたので

前置き

これはどうしても特定の古いバージョンの Google App Engine SDK for Go を入れたかった為、無理くりインストールしたときのメモなので、 決して推奨できる方法でありません・・・

インストールした環境

• MacOS 10.12.6
• GAE 1.9.48
• Go 1.6.3

手順１（お手軽版）

1. 過去バージョンのSDKが配置されているGCSのディレクトリにアクセス

• https://console.cloud.google.com/storage/browser/appengine-sdks/featured/
• go_appengine_sdk_darwin_amd64-1.9.48.zip をダウンロード

2. 適当なディレクトリに展開

unzip ~/Downloads/go_appengine_sdk_darwin_386-1.9.48.zip
mv go_appengine ~/tmp/go_appengine_1.9.48

3. PATHに追加

# .bashrc や .zshrc などに
export PATH=~/tmp/go_appengine_1.9.48:$PATH

6. goapp version 確認

% goapp version
go version go1.6.3 (appengine-1.9.48) darwin/amd64

手順２（既存の構成に合わせる版）

1. 過去バージョンのSDKが配置されているGCSのディレクトリにアクセス

• https://console.cloud.google.com/storage/browser/appengine-sdks/featured/
• go_appengine_sdk_darwin_amd64-1.9.48.zip をダウンロード

2. 展開したディレクトリを下記に配置

/usr/local/Cellar/app-engine-go-64/1.9.48/share/app-engine-go-64/

3. binディレクトリを作成

mkdir /usr/local/Cellar/app-engine-go-64/1.9.48/bin/

4. bin/ 下にリンク作成

cd /usr/local/Cellar/app-engine-go-64/1.9.48/bin/
ln -s ../share/app-engine-go-64/appcfg.py appcfg.py
ln -s ../share/app-engine-go-64/bulkload_client.py bulkload_client.py
ln -s ../share/app-engine-go-64/bulkloader.py bulkloader.py
ln -s ../share/app-engine-go-64/dev_appserver.py dev_appserver.py
ln -s ../share/app-engine-go-64/download_appstats.py download_appstats.py
ln -s ../share/app-engine-go-64/goapp goapp

5. /usr/local/bin/ の参照も変える

cd /usr/local/bin
ln -s /usr/local/Cellar/app-engine-go-64/1.9.48/bin/appcfg.py appcfg.py
ln -s /usr/local/Cellar/app-engine-go-64/1.9.48/bin/bulkload_client.py bulkload_client.py
ln -s /usr/local/Cellar/app-engine-go-64/1.9.48/bin/bulkloader.py bulkloader.py
ln -s /usr/local/Cellar/app-engine-go-64/1.9.48/bin/dev_appserver.py dev_appserver.py
ln -s /usr/local/Cellar/app-engine-go-64/1.9.48/bin/download_appstats.py download_appstats.py
ln -s /usr/local/Cellar/app-engine-go-64/1.9.48/bin/goapp goapp

6. goapp version 確認

% goapp version
go version go1.6.3 (appengine-1.9.48) darwin/amd64