Cómo usar el panel de seguimiento de claves

Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

En el panel de seguimiento de claves de Cloud KMS, se muestran los recursos de Cloud en tu organización que dependen de tus claves de KMS y están protegidas por ellas. En el panel de seguimiento de claves, se muestran las claves que usan otros recursos y servicios de Google Cloud.

Configurar el panel de seguimiento de claves

Siga estos pasos para habilitar el panel de seguimiento de claves.

  1. Ve a la página Administración de claves en Google Cloud Console.

    Ir a la página Administración de claves

  2. Haz clic en Llaveros de claves o Inventario de claves para acceder a una clave.

  3. Haz clic en el nombre de la clave para ir a la página de detalles correspondiente. Verá una pestaña llamada Usage Tracking.

  4. Haz clic en la pestaña Usage Tracking (Seguimiento de uso). Se abrirá el panel de seguimiento de claves para esa clave. Verá un error que indica que la cuenta de servicio debe tener permiso para poder usar el panel. Tenga en cuenta que solo los usuarios con el permiso resourcemanager.organizations.setIamPolicy en su organización pueden habilitar el panel de seguimiento de claves. Los roles de administrador de la organización (roles/resourcemanager.organizationAdmin) y administrador de seguridad (roles/iam.securityAdmin) tienen este permiso.

  5. Para habilitar el panel y acceder al seguimiento del uso de las claves, el administrador de la organización o el administrador de seguridad aprovisiona la cuenta de servicio de Cloud KMS con la función de agente de servicio de Cloud KMS (cloudkms.orgServiceAgent). Para ello, pueden usar el siguiente comando de Google Cloud CLI:


gcloud organizations add-iam-policy-binding ORG_NUMBER \
      --member="serviceAccount:service-org-ORG_NUMBER@gcp-sa-cloudkms.iam.gserviceaccount.com" \
        --role='roles/cloudkms.orgServiceAgent'
        

Reemplaza ORG_NUMBER por el número de organización, que es el ID numérico de tu organización.

Niveles de visibilidad

El panel de seguimiento de claves tiene dos niveles de visibilidad.

  • Ver resumen de claves: Cualquier usuario con el permiso cloudkms.cryptoKeys.get de una clave puede ver un resumen de los recursos protegidos de la clave en el panel. Esto incluye la cantidad de recursos protegidos, la cantidad de proyectos que usan esta clave y la cantidad de productos únicos de Cloud que la usan. Este es el primer nivel de visibilidad.

  • Ver detalles de la clave: El segundo nivel de visibilidad es una vista detallada de las claves, que también debe otorgar el administrador de la organización. Otorga a un usuario acceso detallado a recursos protegidos con el siguiente comando de la CLI de gcloud:


gcloud organizations add-iam-policy-binding ORG_NUMBER  \
      --member="user:USER_EMAIL " \
        --role='roles/cloudkms.protectedResourcesViewer'
        

Accede al panel

Usa Google Cloud Console para ver las claves y acceder al panel de seguimiento de claves.

Console

  1. Ve a la página Administración de claves en Google Cloud Console.

    Ir a la página Administración de claves

  2. Haz clic en el nombre del llavero de claves que contiene la clave que quieres ver.

  3. Haz clic en el nombre de la clave.

  4. Haz clic en la pestaña Usage Tracking (Seguimiento de uso).

Ver atributos clave

El panel de seguimiento de claves proporciona información completa sobre los recursos protegidos por tus claves criptográficas.

Los atributos clave incluyen lo siguiente:

  • Nombre del recurso: el nombre del recurso de Google Cloud en el que se usa una clave.
  • Nombre del proyecto: Nombre del proyecto con el que se usa una clave.
  • Versión de clave: la versión de clave específica que se usa con un recurso en particular.
  • Producto de Cloud: Es el producto de Google Cloud que se usa para encriptar una clave (Compute Engine, Cloud SQL, Cloud Storage, etcétera).
  • Tipo de recurso: El tipo de recurso que se usa para encriptar una clave (como bucket [Cloud Storage], disco [Compute Engine], etcétera).
  • Fecha de creación: La hora en la que se creó el recurso.
  • Etiquetas: un conjunto de pares clave-valor para ayudarte a organizar tus recursos.

Ordena y filtra claves

Puedes ordenar y filtrar las claves según varios atributos.

Console

  1. Ve a la página Administración de claves en Google Cloud Console.

    Ir a la página Administración de claves

  2. Haz clic en el nombre del llavero de claves que contiene la clave que quieres ver.

  3. Haz clic en el nombre de la clave.

  4. Haz clic en la pestaña Usage Tracking (Seguimiento de uso).

  5. Haga clic en Filtro, arriba del atributo Nombre.

  6. Selecciona el atributo que se usará para filtrar claves.

Limitaciones

Cuando utilice el panel de seguimiento de claves, tenga en cuenta lo siguiente:

  • Compatibilidad demorada con Google Cloud Storage: El panel de seguimiento de claves incluye compatibilidad limitada con las claves que se usan con Google Cloud Storage. Esto significa que solo las claves configuradas en un bucket se reflejan en el panel.
  • Solo con fines informativos: La información que se muestra en el panel de seguimiento clave solo tiene fines informativos. Debes realizar tu propia diligencia debida por separado de lo que aparece en el panel antes de tomar decisiones que podrían provocar la pérdida de datos, en especial, las decisiones sobre la programación de claves para su destrucción.

En la vista previa, los tipos de recursos admitidos incluyen los siguientes:

  • artifactregistry.googleapis.com/Repository
  • bigquery.googleapis.com/Dataset
  • bigquery.googleapis.com/Table
  • bigtableadmin.googleapis.com/Backup
  • bigtableadmin.googleapis.com/Cluster
  • cloudfunctions.googleapis.com/CloudFunction
  • composer.googleapis.com/Environment
  • compute.googleapis.com/Disk
  • compute.googleapis.com/Image
  • compute.googleapis.com/Snapshot
  • dataproc.googleapis.com/Cluster
  • documentai.googleapis.com/Processor
  • pubsub.googleapis.com/Topic
  • spanner.googleapis.com/Database
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket*

* Solo muestra la clave, no la versión de la clave

Si una clave se utiliza con un tipo de recurso que no aparece en la lista anterior, su uso en el tipo de recurso no se refleja en el panel de seguimiento de claves.