Utilizzare la dashboard di monitoraggio delle chiavi

La dashboard di monitoraggio delle chiavi Cloud KMS mostra le risorse Cloud della tua organizzazione che dipendono e sono protette dalle chiavi KMS. La dashboard di monitoraggio delle chiavi mostra le chiavi utilizzate da altri servizi e risorse Google Cloud.

Configura la dashboard di monitoraggio delle chiavi

Segui questi passaggi per attivare la dashboard di monitoraggio delle chiavi.

  1. Vai alla pagina Gestione delle chiavi in Google Cloud Console.

    Vai alla pagina Gestione delle chiavi

  2. Fai clic su Portachiavi o Inventario chiavi per accedere a una chiave.

  3. Fai clic sul nome della chiave per andare alla pagina dei dettagli della chiave selezionata. Vedrai una scheda Monitoraggio dell'utilizzo.

  4. Fai clic sulla scheda Monitoraggio dell'utilizzo. Si apre la dashboard di monitoraggio delle chiavi relativa alla chiave in questione. Prima di poter utilizzare la dashboard, verrà visualizzato un errore che indica che l'account di servizio deve essere autorizzato. Tieni presente che solo gli utenti con l'autorizzazione resourcemanager.organizations.setIamPolicy nella tua organizzazione possono attivare la dashboard di monitoraggio delle chiavi. I ruoli (roles/resourcemanager.organizationAdmin) Amministratore organizzazione e Amministratore sicurezza (roles/iam.securityAdmin) sono autorizzati.

  5. Per abilitare la dashboard e il monitoraggio dell'utilizzo delle chiavi di accesso, l'amministratore dell'organizzazione o l'amministratore della sicurezza esegue il provisioning dell'account di servizio Cloud KMS con il ruolo di agente di servizio Cloud KMS (cloudkms.orgServiceAgent). Per farlo, può utilizzare il seguente comando dell'interfaccia a riga di comando di Google Cloud:


gcloud organizations add-iam-policy-binding ORG_NUMBER \
      --member="serviceAccount:service-org-ORG_NUMBER@gcp-sa-cloudkms.iam.gserviceaccount.com" \
        --role='roles/cloudkms.orgServiceAgent'
        

Sostituisci ORG_NUMBER con il numero dell'organizzazione, ossia l'ID numerico della tua organizzazione.

Livelli di visibilità

La dashboard di monitoraggio delle chiavi ha due livelli di visibilità.

  • Visualizza riepilogo chiave: qualsiasi utente con autorizzazione cloudkms.cryptoKeys.get su una chiave può visualizzare un riepilogo delle risorse protette dalla chiave nella dashboard. Vengono inclusi il numero di risorse protette, il numero di progetti che utilizzano la chiave e il numero di prodotti Cloud unici che la utilizzano. Questo è il primo livello di visibilità.

  • Visualizza dettagli chiave: il secondo livello di visibilità è una visualizzazione dettagliata delle chiavi, che deve essere concessa anche dall'amministratore dell'organizzazione. Concedi a un utente un accesso dettagliato alle risorse protette utilizzando il seguente comando dell'interfaccia a riga di comando gcloud:


gcloud organizations add-iam-policy-binding ORG_NUMBER  \
      --member="user:USER_EMAIL " \
        --role='roles/cloudkms.protectedResourcesViewer'
        

Accedere alla dashboard

Utilizza Google Cloud Console per visualizzare le chiavi e accedere alla dashboard di monitoraggio delle chiavi.

console

  1. Vai alla pagina Gestione delle chiavi in Google Cloud Console.

    Vai alla pagina di gestione delle chiavi

  2. Fai clic sul nome del keyring contenente la chiave che vuoi visualizzare.

  3. Fai clic sul nome della chiave.

  4. Fai clic sulla scheda Monitoraggio dell'utilizzo.

Visualizza attributi chiave

La dashboard di monitoraggio delle chiavi fornisce informazioni complete sulle risorse protette dalle tue chiavi di crittografia.

Gli attributi chiave includono:

  • Nome risorsa: nome della risorsa Google Cloud su cui viene utilizzata una chiave.
  • Nome progetto: nome del progetto con cui viene utilizzata una chiave.
  • Versione chiave: la versione della chiave specifica utilizzata per una determinata risorsa.
  • Prodotto Cloud: il prodotto Google Cloud che viene utilizzato una chiave per criptare (Compute Engine, Cloud SQL, Cloud Storage e così via).
  • Tipo di risorsa: il tipo di risorsa utilizzato da una chiave per criptare (ad esempio, bucket [Cloud Storage], disco [Compute Engine] e così via).
  • Data di creazione: ora in cui è stata creata la risorsa.
  • Etichette: un insieme di coppie chiave-valore per organizzare le risorse.

Ordinare e filtrare le chiavi

Puoi ordinare e filtrare le chiavi in base a una serie di attributi.

console

  1. Vai alla pagina Gestione delle chiavi in Google Cloud Console.

    Vai alla pagina di gestione delle chiavi

  2. Fai clic sul nome del keyring contenente la chiave che vuoi visualizzare.

  3. Fai clic sul nome della chiave.

  4. Fai clic sulla scheda Monitoraggio dell'utilizzo.

  5. Fai clic su Filtro, sopra l'attributo Nome.

  6. Seleziona l'attributo da utilizzare per filtrare le chiavi.

Limitazioni

Quando utilizzi la dashboard di monitoraggio delle chiavi, tieni presente quanto segue:

  • Supporto ritardato per Google Cloud Storage. La dashboard di monitoraggio delle chiavi include un supporto limitato per le chiavi utilizzate con Google Cloud Storage. Ciò significa che nella dashboard vengono applicate solo le chiavi configurate in un bucket.
  • A puro scopo informativo: i dettagli visualizzati nella dashboard di monitoraggio delle chiavi hanno esclusivamente scopo informativo. Prima di prendere decisioni che potrebbero causare la perdita di dati, dovresti condurre la tua due diligence separatamente da quella visualizzata nella dashboard, in particolare quelle relative alla pianificazione dell'eliminazione.

In anteprima, i tipi di risorse supportati includono e sono limitati ai seguenti:

  • artifactregistry.googleapis.com/Repository
  • bigquery.googleapis.com/Dataset
  • bigquery.googleapis.com/Table
  • bigtableadmin.googleapis.com/Backup
  • bigtableadmin.googleapis.com/Cluster
  • cloudfunctions.googleapis.com/CloudFunction
  • composer.googleapis.com/Environment
  • compute.googleapis.com/Disk
  • compute.googleapis.com/Image
  • compute.googleapis.com/Snapshot
  • dataproc.googleapis.com/Cluster
  • documentai.googleapis.com/Processor
  • pubsub.googleapis.com/Topic
  • spanner.googleapis.com/Database
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket*

* Mostra solo la chiave, non la versione della chiave

Se una chiave viene utilizzata con un tipo di risorsa non presente nell'elenco precedente, il suo utilizzo nel tipo di risorsa non risulta indicato nella dashboard di monitoraggio delle chiavi.