Cloud Key Management Service proporciona la opción de agregar etiquetas a tus claves de Cloud KMS. Las etiquetas son pares clave-valor que puedes usar para agrupar Claves de Cloud KMS y metadatos de almacenamiento sobre una clave de Cloud KMS.
Las etiquetas se incluyen en tu factura, lo que te permite ver cómo se distribuyen los costos entre tus etiquetas.
Puedes agregar, actualizar y quitar etiquetas de claves con Google Cloud CLI y la API de REST de Cloud KMS.
Puedes usar etiquetas con otros recursos de Google Cloud, como los recursos de máquinas virtuales y los buckets de almacenamiento. Más información sobre el uso de etiquetas en Google Cloud, consulta Crea y administra etiquetas.
¿Qué son las etiquetas?
Una etiqueta es un par clave-valor que puedes asignar a las claves de Google Cloud KMS. Te ayudan a organizar estos recursos y administrar los costos a gran escala, con el nivel de detalle que necesitas. Puedes adjuntar una etiqueta a cada recurso y, luego, usarlas para filtrarlos. La información sobre las etiquetas se envía al sistema de facturación que te permite desglosar los cargos facturados por etiqueta. Con los informes de facturación integrados, puedes filtrar y agrupar costos por etiquetas de recurso. También puedes usar etiquetas para consultar las exportaciones de datos de facturación.
Requisitos para las etiquetas
Las etiquetas que se aplican a un recurso deben cumplir los siguientes requisitos:
- Cada recurso puede tener hasta 64 etiquetas de clúster.
- Cada etiqueta debe ser un par clave-valor.
- La longitud de las claves debe ser de entre 1 y 63 caracteres, y no pueden estar vacías. Los valores pueden estar vacíos y su longitud máxima es de 63 caracteres.
- Las claves y los valores pueden contener solo letras en minúscula, caracteres numéricos, guiones bajos y guiones. Todos los caracteres deben usar la codificación UTF-8, además, se permiten los caracteres internacionales. Las claves deben comenzar con una letra en minúscula o un carácter internacional.
- La porción de clave de una etiqueta debe ser única para un solo recurso. Sin embargo, puedes usar la misma clave en varios recursos.
Estos límites se aplican a la clave y al valor de cada etiqueta de clúster, y a los recursos individuales de Google Cloud que tienen etiquetas de clúster. No hay límite para la cantidad de etiquetas de clúster que puedes aplicar en todos los recursos de un proyecto.
Usos comunes de las etiquetas
Estos son algunos casos prácticos comunes de las etiquetas:
Etiquetas de equipo o centro de costos: agrega etiquetas según el equipo o centro de costos para distinguir las claves de Cloud KMS que pertenecen a equipos diferentes (por ejemplo,
team:research
yteam:analytics
). Puedes usar este tipo de etiquetas para la contabilidad de costos o la creación de presupuestos.Etiquetas de componentes: por ejemplo,
component:redis
,component:frontend
,component:ingest
ycomponent:dashboard
.Etiquetas de entorno o etapa: por ejemplo,
environment:production
yenvironment:test
.Etiquetas de estado: por ejemplo,
state:active
,state:readytodelete
ystate:archive
.Etiquetas de propiedad: Se usan para identificar a los equipos responsables de las operaciones, por ejemplo:
team:shopping-cart
.
No recomendamos crear grandes cantidades de etiquetas únicas, como marcas de tiempo o valores individuales para cada llamada a la API. El problema con este enfoque es que, cuando los valores cambian con frecuencia o con claves que sobrecargan el catálogo, esto dificulta el filtrado y la generación de informes eficaces para los recursos.
Etiquetas
Las etiquetas se pueden usar como anotaciones que se pueden consultar en los recursos, pero no se pueden usar para establecer condiciones en las políticas. Las etiquetas proporcionan una forma de permitir o rechazar políticas de manera condicional en función de si un recurso tiene una etiqueta específica, ya que proporciona un control detallado sobre las políticas. Para obtener más información, consulta la Descripción general de etiquetas.
Cómo crear una clave con etiquetas
Para agregar etiquetas cuando crees una clave, debes proporcionar uno o más pares clave-valor durante la operación de creación.
Console
Ve a la página Administración de claves en la consola de Google Cloud.
Haz clic en el nombre del llavero de claves para el que crearás la clave.
Haz clic en Crear clave.
En ¿Qué tipo de clave quieres crear?, elige Clave generada.
Ingresa el nombre en el campo Nombre de la clave.
Haz clic en el menú desplegable Nivel de protección y selecciona HSM.
Haz clic en el menú desplegable Propósito y selecciona Encriptación/desencriptación simétrica.
Acepta los valores predeterminados de Período de rotación y A partir del.
Haz clic en el botón Agregar etiquetas.
Agrega una etiqueta con la clave
team
y el valoralpha
.Haz clic en Crear.
gcloud
Para usar Cloud KMS en la línea de comandos, primero instala o actualiza a la versión más reciente de Google Cloud CLI.
En este ejemplo, se muestra cómo crear una clave nueva y asignarle etiquetas. También puedes agregar etiquetas a una clave existente.
gcloud kms keys create key \ --keyring key-ring \ --location location \ --purpose purpose \ --labels "team=alpha,cost_center=cc1234"
Reemplaza key por un nombre para la clave. Reemplaza key-ring por el nombre del llavero de claves donde se ubicará la clave. Reemplaza location por la ubicación de Cloud KMS para el llavero de claves. Reemplazar purpose con un propósito válido para la clave Proporciona una cita una lista de etiquetas y valores separados por comas. Si una etiqueta se especifica varias veces con valores diferentes, cada valor nuevo reemplaza al anterior.
Para obtener información sobre todas las marcas y los valores posibles, ejecuta el comando con la marca --help
.
C#
Para ejecutar este código, primero configura un entorno de desarrollo de C# e instala el SDK de C# para Cloud KMS.
Go
Para ejecutar este código, primero configura un entorno de desarrollo de Go y, luego, instala el SDK de Go para Cloud KMS.
Java
Para ejecutar este código, primero configura un entorno de desarrollo de Java y, luego, instala el SDK de Java para Cloud KMS.
Node.js
Para ejecutar este código, primero configura un entorno de desarrollo de Node.js y, luego, instala el SDK de Node.js para Cloud KMS.
PHP
Para ejecutar este código, primero obtén información sobre cómo usar PHP en Google Cloud y, luego, instala el SDK de PHP para Cloud KMS.
Python
Para ejecutar este código, primero configura un entorno de desarrollo de Python y, luego, instala el SDK de Python para Cloud KMS.
Ruby
Para ejecutar este código, primero configura un entorno de desarrollo de Ruby y, luego, instala el SDK de Ruby para Cloud KMS.
API
Agrega etiquetas cuando crees una clave nueva con CryptoKeys.create
e incluye la propiedad labels
en el cuerpo de tu solicitud. Por ejemplo:
{
"purpose": "ENCRYPT_DECRYPT",
"labels": [
{
"key": "team",
"value": "alpha"
},
{
"key": "cost_center",
"value": "cc1234"
}
]
}
Si proporcionas la misma clave de etiqueta dos veces, el último valor especificado anula los valores anteriores. En este ejemplo, team
se establece en beta
.
{
"labels": [
{
"key": "team",
"value": "alpha"
},
{
"key": "team",
"value": "beta"
}
]
}
Cómo ver las etiquetas de una clave
Console
Ve a la página Administración de claves en la consola de Google Cloud.
Haz clic en el nombre del llavero de claves de la clave que quieres inspeccionar.
En el encabezado, haz clic en Mostrar panel de información.
En el panel, elige la pestaña Etiquetas.
gcloud
Para usar Cloud KMS en la línea de comandos, primero Instala o actualiza a la versión más reciente de Google Cloud CLI.
gcloud kms keys describe key \ --keyring key-ring \ --location location
Reemplaza key por el nombre de la clave. Reemplaza key-ring por el nombre del llavero de claves en el que se encuentra la clave. Reemplaza location por la ubicación de Cloud KMS para el llavero de claves.
Para obtener información sobre todas las marcas y los valores posibles, ejecuta el comando con la marca --help
.
C#
Para ejecutar este código, primero configura un entorno de desarrollo de C# e instala el SDK de C# para Cloud KMS.
Go
Para ejecutar este código, primero configura un entorno de desarrollo de Go y, luego, instala el SDK de Go para Cloud KMS.
Java
Para ejecutar este código, primero configura un entorno de desarrollo de Java y, luego, instala el SDK de Java para Cloud KMS.
Node.js
Para ejecutar este código, primero configura un entorno de desarrollo de Node.js y, luego, instala el SDK de Node.js para Cloud KMS.
PHP
Para ejecutar este código, primero obtén información sobre cómo usar PHP en Google Cloud y, luego, instala el SDK de PHP para Cloud KMS.
Python
Para ejecutar este código, primero configura un entorno de desarrollo de Python y, luego, instala el SDK de Python para Cloud KMS.
Ruby
Para ejecutar este código, primero configura un entorno de desarrollo de Ruby y, luego, instala el SDK de Ruby para Cloud KMS.
API
En estos ejemplos, se usa curl como un cliente HTTP para demostrar el uso de la API. Para obtener más información sobre el control de acceso, consulta Accede a la API de Cloud KMS.
Para ver las etiquetas que se aplicaron a una clave, usa el método CryptoKeys.get
:
curl "https://cloudkms.googleapis.com/v1/projects/project-id/locations/location/keyRings/key-ring-name/cryptoKeys/key-name" \ --request "GET" \ --header "authorization: Bearer token" \ --header "content-type: application/json" \ --header "x-goog-user-project: project-id"
Agregar o actualizar etiquetas
Console
Ve a la página Administración de claves en la consola de Google Cloud.
Haz clic en el nombre del llavero de claves de la clave que quieres inspeccionar.
En el encabezado, haz clic en Mostrar panel de información.
En el panel, elige la pestaña Etiquetas.
Edita el valor de una etiqueta directamente en el campo de texto correspondiente.
Edita la clave de una etiqueta agregando una etiqueta nueva con el nombre de clave deseado y borrar la etiqueta anterior haciendo clic en Borrar
junto a la etiqueta que deseas borrar.Haz clic en Guardar.
gcloud
Para usar Cloud KMS en la línea de comandos, primero Instala o actualiza a la versión más reciente de Google Cloud CLI.
gcloud kms keys update key \ --keyring key-ring \ --location location \ --update-labels "cost_center=cc5678"
Reemplaza key por el nombre de la clave. Reemplaza key-ring por el nombre del llavero de claves en el que se encuentra la clave. Reemplaza location por la ubicación de Cloud KMS para el llavero de claves. Para --update-labels
, proporciona una lista de etiquetas y sus valores separados por comas y entre comillas para actualizar. Si omites el valor nuevo de una etiqueta, se produce un error.
Para obtener información sobre todas las marcas y los valores posibles, ejecuta el comando con la marca --help
.
C#
Para ejecutar este código, primero configura un entorno de desarrollo de C# e instala el SDK de C# para Cloud KMS.
Go
Para ejecutar este código, primero configura un entorno de desarrollo de Go y, luego, instala el SDK de Go para Cloud KMS.
Java
Para ejecutar este código, primero configura un entorno de desarrollo de Java y, luego, instala el SDK de Java para Cloud KMS.
Node.js
Para ejecutar este código, primero configura un entorno de desarrollo de Node.js y, luego, instala el SDK de Node.js para Cloud KMS.
PHP
Para ejecutar este código, primero obtén información sobre cómo usar PHP en Google Cloud y, luego, instala el SDK de PHP para Cloud KMS.
Ruby
Para ejecutar este código, primero configura un entorno de desarrollo de Ruby y, luego, instala el SDK de Ruby para Cloud KMS.
Python
Para ejecutar este código, primero configura un entorno de desarrollo de Python y, luego, instala el SDK de Python para Cloud KMS.
API
En estos ejemplos, se usa curl como un cliente HTTP para demostrar el uso de la API. Para obtener más información sobre el control de acceso, consulta Accede a la API de Cloud KMS.
Agregar o actualizar etiquetas de una clave existente con CryptoKeys.patch
e incluye la propiedad labels
en el cuerpo de la solicitud. Por ejemplo:
{
"labels": [
{
"key": "team",
"value": "alpha"
},
{
"key": "cost_center",
"value": "cc5678"
}
]
}
Instrucciones para quitar las etiquetas
Console
Ve a la página Administración de claves en la consola de Google Cloud.
Haz clic en el nombre del llavero de claves de la clave que quieres inspeccionar.
En el encabezado, haz clic en Mostrar panel de información.
En el panel, elige la pestaña Etiquetas.
Haz clic en el ícono Borrar
junto a las etiquetas que deseas borrar.Haz clic en Guardar.
gcloud
Para usar Cloud KMS en la línea de comandos, primero instala o actualiza a la versión más reciente de Google Cloud CLI.
gcloud kms keys update key \ --keyring key-ring \ --location location \ --remove-labels "team,cost_center"
Reemplaza key por el nombre de la clave. Reemplaza key-ring por el nombre del llavero de claves en el que se encuentra la clave. Reemplaza location por la ubicación de Cloud KMS para el llavero de claves. Para --remove-labels
, proporciona una lista de etiquetas separadas por comas y entre comillas que deseas quitar. No proporcionar valores
para las etiquetas.
Para obtener información sobre todas las marcas y los valores posibles, ejecuta el comando con la marca --help
.
C#
Para ejecutar este código, primero configura un entorno de desarrollo de C# e instala el SDK de C# para Cloud KMS.
Go
Para ejecutar este código, primero configura un entorno de desarrollo de Go y, luego, instala el SDK de Go para Cloud KMS.
Java
Para ejecutar este código, primero configura un entorno de desarrollo de Java y, luego, instala el SDK de Java para Cloud KMS.
Node.js
Para ejecutar este código, primero configura un entorno de desarrollo de Node.js y, luego, instala el SDK de Node.js para Cloud KMS.
PHP
Para ejecutar este código, primero obtén información sobre cómo usar PHP en Google Cloud y, luego, instala el SDK de PHP para Cloud KMS.
Python
Para ejecutar este código, primero configura un entorno de desarrollo de Python y, luego, instala el SDK de Python para Cloud KMS.
Ruby
Para ejecutar este código, primero configura un entorno de desarrollo de Ruby y, luego, instala el SDK de Ruby para Cloud KMS.
API
En estos ejemplos, se usa curl como un cliente HTTP para demostrar el uso de la API. Para obtener más información sobre el control de acceso, consulta Accede a la API de Cloud KMS.
Para quitar etiquetas de una clave existente, usa el método CryptoKeys.patch y agrega la propiedad labels
como un arreglo vacío en el cuerpo de tu solicitud. Por ejemplo:
{
"labels": []
}
Registro de auditoría
Los registros de auditoría de Cloud para Cloud KMS se pueden usar para registrar información de etiquetas cuando se crean o actualizan las claves. Tanto la creación como la actualización de claves son actividades de administrador, por lo que estos cambios se anotan en el registro de actividades del administrador.