Cloud Key Management Service offre la possibilità di aggiungere etichette alle tue chiavi Cloud KMS. Le etichette sono coppie chiave-valore utilizzabili per raggruppare chiavi Cloud KMS correlate e archiviare i metadati relativi a una chiave Cloud KMS.
Le etichette sono incluse nella fattura, pertanto puoi vedere come sono distribuiti i costi nelle varie etichette.
Puoi aggiungere, aggiornare e rimuovere le etichette delle chiavi utilizzando Google Cloud CLI e l'API REST di Cloud KMS.
Puoi utilizzare le etichette con altre risorse Google Cloud, ad esempio risorse di macchine virtuali e bucket di archiviazione. Per saperne di più sull'utilizzo delle etichette in Google Cloud, consulta Creazione e gestione delle etichette.
Cosa sono le etichette?
Un'etichetta è una coppia chiave-valore che puoi assegnare alle chiavi Google Cloud KMS. Ti aiutano a organizzare queste risorse e a gestire i costi su larga scala, con la granularità di cui hai bisogno. Puoi associare un'etichetta a ogni risorsa, quindi filtrare le risorse in base alle etichette. Le informazioni sulle etichette vengono inoltrate al sistema di fatturazione, in modo da poter suddividere gli addebiti fatturati per etichetta. Con i report di fatturazione integrati, puoi filtrare e raggruppare i costi in base alle etichette delle risorse. Puoi anche utilizzare le etichette per eseguire query sulle esportazioni dei dati di fatturazione.
Requisiti per le etichette
Le etichette applicate a una risorsa devono soddisfare i seguenti requisiti:
- Ogni risorsa può avere fino a 64 etichette.
- Ogni etichetta deve essere una coppia chiave-valore.
- Le chiavi hanno una lunghezza minima di 1 carattere e una lunghezza massima di 63 caratteri e non possono essere vuote. I valori possono essere vuoti e hanno una lunghezza massima di 63 caratteri.
- Le chiavi e i valori possono contenere solo lettere minuscole, caratteri numerici, trattini bassi e trattini. Tutti i caratteri devono utilizzare la codifica UTF-8 e sono consentiti caratteri internazionali. Le chiavi devono iniziare con una lettera minuscola o un carattere internazionale.
- La parte della chiave di un'etichetta deve essere univoca all'interno di una singola risorsa. Tuttavia, puoi utilizzare la stessa chiave con più risorse.
Questi limiti si applicano alla chiave e al valore di ogni etichetta e alle singole risorse Google Cloud che contengono etichette. Non esiste un limite al numero di etichette che puoi applicare a tutte le risorse all'interno di un progetto.
Utilizzi comuni delle etichette
Di seguito sono riportati alcuni casi d'uso comuni delle etichette:
Etichette del team o del centro di costo: aggiungi etichette in base al team o al centro di costo per distinguere le chiavi Cloud KMS di proprietà di team diversi (ad esempio,
team:research
eteam:analytics
). Puoi utilizzare questo tipo di etichetta per la contabilità dei costi o il budget.Etichette dei componenti: ad esempio
component:redis
,component:frontend
,component:ingest
ecomponent:dashboard
.Etichette dell'ambiente o della fase: ad esempio,
environment:production
eenvironment:test
.Etichette di stato: ad esempio,
state:active
,state:readytodelete
estate:archive
.Etichette di proprietà: utilizzate per identificare i team responsabili delle operazioni, ad esempio
team:shopping-cart
.
Non è consigliabile creare un numero elevato di etichette univoche, ad esempio per timestamp o valori singoli per ogni chiamata API. Il problema di questo approccio è che, quando i valori cambiano spesso o con chiavi che ingombrano il catalogo, è difficile filtrare e generare report sulle risorse in modo efficace.
Etichette e tag
Le etichette possono essere utilizzate come annotazioni interrogabili per le risorse, ma non per impostare le condizioni dei criteri. I tag forniscono un modo per consentire o negare in modo condizionale i criteri a seconda che una risorsa abbia un tag specifico, fornendo un controllo granulare sui criteri. Per ulteriori informazioni, consulta la Panoramica dei tag.
Creazione di una chiave con etichette
Durante la creazione di una chiave, puoi aggiungere etichette fornendo una o più coppie chiave-valore come etichette al momento della creazione della chiave.
Console
Vai alla pagina Gestione delle chiavi nella console Google Cloud.
Fai clic sul nome del keyring per cui creerai una chiave.
Fai clic su Crea chiave.
Nella sezione Che tipo di chiave vuoi creare?, scegli Chiave generata.
Nel campo Nome chiave, inserisci il nome della chiave.
Fai clic sul menu a discesa Livello di protezione e seleziona HSM.
Fai clic sul menu a discesa Finalità e seleziona Crittografia/decrittografia simmetrica.
Accetta i valori predefiniti per Periodo di rotazione e Inizio del.
Fai clic sul pulsante Aggiungi etichette.
Aggiungi un'etichetta con la chiave
team
e il valorealpha
.Fai clic su Crea.
gcloud
Per utilizzare Cloud KMS nella riga di comando, devi prima installare o eseguire l'upgrade alla versione più recente di Google Cloud CLI.
Questo esempio mostra come creare una nuova chiave e assegnarle etichette. Puoi anche aggiungere etichette a una chiave esistente.
gcloud kms keys create key \ --keyring key-ring \ --location location \ --purpose purpose \ --labels "team=alpha,cost_center=cc1234"
Sostituisci key con un nome per la chiave. Sostituisci key-ring con il nome del keyring in cui si troverà la chiave. Sostituisci location con la località Cloud KMS del keyring. Sostituisci purpose con uno scopo valido per la chiave. Fornisci un elenco di etichette e valori tra virgolette e separati da virgole. Se un'etichetta viene specificata più volte con valori diversi, ogni nuovo valore sovrascrive quello precedente.
Per informazioni su tutti i flag e i possibili valori, esegui il comando con il flag --help
.
C#
Per eseguire questo codice, prima configura un ambiente di sviluppo C# e installa l'SDK C# di Cloud KMS.
Go
Per eseguire questo codice, prima configura un ambiente di sviluppo Go e installa l'SDK Cloud KMS Go.
Java
Per eseguire questo codice, prima configura un ambiente di sviluppo Java e installa l'SDK Java di Cloud KMS.
Node.js
Per eseguire questo codice, prima configura un ambiente di sviluppo Node.js e installa l'SDK Node.js di Cloud KMS.
PHP
Per eseguire questo codice, scopri innanzitutto come utilizzare PHP su Google Cloud e installare l'SDK PHP di Cloud KMS.
Python
Per eseguire questo codice, prima configura un ambiente di sviluppo Python e installa l'SDK Python di Cloud KMS.
Ruby
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Ruby e poi installare l'SDK Ruby di Cloud KMS.
API
Aggiungi le etichette quando crei una nuova chiave utilizzando il metodo CryptoKeys.create
e includi la proprietà labels
nel corpo della richiesta. Ad esempio:
{
"purpose": "ENCRYPT_DECRYPT",
"labels": [
{
"key": "team",
"value": "alpha"
},
{
"key": "cost_center",
"value": "cc1234"
}
]
}
Se fornisci la stessa chiave di etichetta due volte, l'ultimo valore specificato sostituisce i valori precedenti. In questo esempio, team
è impostato su beta
.
{
"labels": [
{
"key": "team",
"value": "alpha"
},
{
"key": "team",
"value": "beta"
}
]
}
Visualizzazione delle etichette su una chiave
Console
Vai alla pagina Gestione delle chiavi nella console Google Cloud.
Fai clic sul nome del keyring della chiave che vuoi ispezionare.
Nell'intestazione, fai clic su Mostra riquadro informazioni.
Nel riquadro, scegli la scheda Etichette.
gcloud
Per utilizzare Cloud KMS nella riga di comando, devi prima installare o eseguire l'upgrade alla versione più recente di Google Cloud CLI.
gcloud kms keys describe key \ --keyring key-ring \ --location location
Sostituisci key con il nome della chiave. Sostituisci key-ring con il nome del keyring in cui si trova la chiave. Sostituisci location con la località di Cloud KMS per il keyring.
Per informazioni su tutti i flag e i possibili valori, esegui il comando con il flag --help
.
C#
Per eseguire questo codice, prima configura un ambiente di sviluppo C# e installa l'SDK C# di Cloud KMS.
Go
Per eseguire questo codice, prima configura un ambiente di sviluppo Go e installa l'SDK Cloud KMS Go.
Java
Per eseguire questo codice, prima configura un ambiente di sviluppo Java e installa l'SDK Java di Cloud KMS.
Node.js
Per eseguire questo codice, prima configura un ambiente di sviluppo Node.js e installa l'SDK Node.js di Cloud KMS.
PHP
Per eseguire questo codice, scopri innanzitutto come utilizzare PHP su Google Cloud e installare l'SDK PHP di Cloud KMS.
Python
Per eseguire questo codice, prima configura un ambiente di sviluppo Python e installa l'SDK Python di Cloud KMS.
Ruby
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Ruby e poi installare l'SDK Ruby di Cloud KMS.
API
In questi esempi viene utilizzato curl come client HTTP per dimostrare l'utilizzo dell'API. Per maggiori informazioni sul controllo dell'accesso, consulta Accesso all'API Cloud KMS.
Per visualizzare le etichette applicate alla chiave, utilizza il metodo CryptoKeys.get
:
curl "https://cloudkms.googleapis.com/v1/projects/project-id/locations/location/keyRings/key-ring-name/cryptoKeys/key-name" \ --request "GET" \ --header "authorization: Bearer token" \ --header "content-type: application/json" \ --header "x-goog-user-project: project-id"
Aggiungere o aggiornare le etichette
Console
Vai alla pagina Gestione delle chiavi nella console Google Cloud.
Fai clic sul nome del keyring della chiave che vuoi ispezionare.
Nell'intestazione, fai clic su Mostra riquadro informazioni.
Nel riquadro, scegli la scheda Etichette.
Modifica il valore di un'etichetta direttamente nel campo di testo corrispondente.
Modifica la chiave di un'etichetta aggiungendo una nuova etichetta con il nome della chiave desiderato ed elimina la vecchia etichetta facendo clic su Elimina
accanto all'etichetta da eliminare.Fai clic su Salva.
gcloud
Per utilizzare Cloud KMS nella riga di comando, devi prima installare o eseguire l'upgrade alla versione più recente di Google Cloud CLI.
gcloud kms keys update key \ --keyring key-ring \ --location location \ --update-labels "cost_center=cc5678"
Sostituisci key con il nome della chiave. Sostituisci key-ring con il nome del keyring in cui si trova la chiave. Sostituisci location con la località Cloud KMS del keyring. Per --update-labels
, fornisci un elenco di etichette separate da virgole tra virgolette e i relativi valori da aggiornare. Se
ometti il nuovo valore di un'etichetta, si verifica un evento.
Per informazioni su tutti i flag e i possibili valori, esegui il comando con il flag --help
.
C#
Per eseguire questo codice, prima configura un ambiente di sviluppo C# e installa l'SDK C# di Cloud KMS.
Go
Per eseguire questo codice, prima configura un ambiente di sviluppo Go e installa l'SDK Cloud KMS Go.
Java
Per eseguire questo codice, prima configura un ambiente di sviluppo Java e installa l'SDK Java di Cloud KMS.
Node.js
Per eseguire questo codice, prima configura un ambiente di sviluppo Node.js e installa l'SDK Node.js di Cloud KMS.
PHP
Per eseguire questo codice, scopri innanzitutto come utilizzare PHP su Google Cloud e installare l'SDK PHP di Cloud KMS.
Ruby
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Ruby e poi installare l'SDK Ruby di Cloud KMS.
Python
Per eseguire questo codice, prima configura un ambiente di sviluppo Python e installa l'SDK Python di Cloud KMS.
API
In questi esempi viene utilizzato curl come client HTTP per dimostrare l'utilizzo dell'API. Per maggiori informazioni sul controllo dell'accesso, consulta Accesso all'API Cloud KMS.
Aggiungi o aggiorna le etichette a una chiave esistente utilizzando il metodo CryptoKeys.patch e includi la proprietà labels
nel corpo della richiesta. Ad esempio:
{
"labels": [
{
"key": "team",
"value": "alpha"
},
{
"key": "cost_center",
"value": "cc5678"
}
]
}
Rimozione di etichette
Console
Vai alla pagina Gestione delle chiavi nella console Google Cloud.
Fai clic sul nome del keyring della chiave che vuoi ispezionare.
Nell'intestazione, fai clic su Mostra riquadro informazioni.
Nel riquadro, scegli la scheda Etichette.
Fai clic sull'icona Elimina
accanto alle etichette da eliminare.Fai clic su Salva.
gcloud
Per utilizzare Cloud KMS nella riga di comando, devi prima installare o eseguire l'upgrade alla versione più recente di Google Cloud CLI.
gcloud kms keys update key \ --keyring key-ring \ --location location \ --remove-labels "team,cost_center"
Sostituisci key con il nome della chiave. Sostituisci key-ring con il nome del keyring in cui si trova la chiave. Sostituisci location con la località Cloud KMS del keyring. Per --remove-labels
,
fornisci un elenco di etichette tra virgolette e separate da virgole da rimuovere. Non fornire valori per le etichette.
Per informazioni su tutti i flag e i possibili valori, esegui il comando con il flag --help
.
C#
Per eseguire questo codice, prima configura un ambiente di sviluppo C# e installa l'SDK C# di Cloud KMS.
Go
Per eseguire questo codice, prima configura un ambiente di sviluppo Go e installa l'SDK Cloud KMS Go.
Java
Per eseguire questo codice, prima configura un ambiente di sviluppo Java e installa l'SDK Java di Cloud KMS.
Node.js
Per eseguire questo codice, prima configura un ambiente di sviluppo Node.js e installa l'SDK Node.js di Cloud KMS.
PHP
Per eseguire questo codice, scopri innanzitutto come utilizzare PHP su Google Cloud e installare l'SDK PHP di Cloud KMS.
Python
Per eseguire questo codice, prima configura un ambiente di sviluppo Python e installa l'SDK Python di Cloud KMS.
Ruby
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Ruby e poi installare l'SDK Ruby di Cloud KMS.
API
In questi esempi viene utilizzato curl come client HTTP per dimostrare l'utilizzo dell'API. Per maggiori informazioni sul controllo dell'accesso, consulta Accesso all'API Cloud KMS.
Rimuovi le etichette da una chiave esistente utilizzando il metodo CryptoKeys.patch e includi la proprietà labels
come array vuoto nel corpo della richiesta. Ad esempio:
{
"labels": []
}
Audit logging
Gli audit log di Cloud per Cloud KMS possono essere utilizzati per registrare le informazioni sulle etichette quando le chiavi vengono create o aggiornate. La creazione e gli aggiornamenti delle chiavi sono attività di amministrazione e le modifiche alle etichette vengono registrate nel log delle attività di amministrazione.