Получение ошибки при генерации криптографических ключей с использованием GCloud KMS для доступа к частному репо в качестве зависимости

Question

Я пытаюсь добавить зашифрованные ssh-ключи в Google KMS, используя эту документацию для доступа к частному репозиторию в качестве зависимости от Google App Engine (проект Node.JS).

Я успешно сгенерировал Cloud KMS KeyRing и CryptoKey, но при шифровании ключа возникла ошибка.

(gcloud.kms.encrypt) PERMISSION_DENIED: разрешение 'cloudkms.cryptoKeyVersions.useToEncrypt' запрещен для ресурса 'проекты / тест / локации / глобальные / брелоки / мой-брелок / cryptoKeys / ключ'.

Нужна помощь в настройке, чтобы я мог использовать эту клавишу ssh на GAE.

Answer 1

У вас нет разрешений IAM для использования для шифрования.

Совет: не практикуйтесь на реальных ключах SSH. Сделайте копию их в другой каталог. Затем узнайте, как использовать IAM и KMS на копиях.

Нужна помощь в настройке, чтобы я мог использовать эту клавишу ssh на GAE.

Я не уверен, что вы пытаетесь достичь с помощью шифрования ключей SSH KMS для использования в GAE.

Чтобы позволить учетной записи пользователя или службы использовать ключ для шифрования или дешифрования используя определенный ключ, они должны иметь cloudkms.cryptoKeyEncrypterDecrypter, cloudkms.cryptoKeyEncrypter, cloudkms.cryptoKeyDecrypter или роль владельца, согласно диаграмме в Разрешения и роли.

Пример команды для предоставления разрешений учетной записи службы:

gcloud kms keys add-iam-policy-binding \
  golden-egg --location global --keyring golden-goose \
  --member serviceAccount:my-service-account@my-project.iam.gserviceaccount.com \
  --role roles/cloudkms.cryptoKeyEncrypterDecrypter

Аналогичная команда для предоставления пользователю прав доступа:

gcloud kms keys add-iam-policy-binding \
  golden-egg --location global --keyring golden-goose \
  --member user:sillygoose@gmail.com \
  --role roles/cloudkms.cryptoKeyEncrypterDecrypter

Предоставление разрешений на использование ключей

Разрешения и роли