Usar o painel de acompanhamento de chaves

O painel de acompanhamento de chaves do Cloud KMS mostra os recursos do Cloud em sua organização que dependem e são protegidos pelas chaves do KMS. O painel de acompanhamento de chaves mostra quais das suas chaves estão sendo usadas por outros recursos e serviços do Google Cloud.

Configurar o painel de acompanhamento de chaves

Siga estas etapas para ativar o painel de acompanhamento de chaves.

  1. Acesse a página Gerenciamento de chaves no Console do Google Cloud.

    Acessar a página "Gerenciamento de chaves"

  2. Clique em Keyrings ou Inventário de chaves para acessar uma chave.

  3. Clique no nome da chave para acessar a página de detalhes dela. Você verá uma guia chamada Acompanhamento de uso.

  4. Clique na guia Acompanhamento de uso. O painel de acompanhamento de chaves será aberto para essa chave. Você verá um erro informando que a conta de serviço precisa ter permissão para ser usada no painel. Apenas usuários com a permissão resourcemanager.organizations.setIamPolicy na sua organização podem ativar o painel de acompanhamento de chaves. Os papéis administrador da organização (roles/resourcemanager.organizationAdmin) e administrador de segurança (roles/iam.securityAdmin) têm essa permissão.

  5. Para ativar o painel e acessar o rastreamento de uso da chave, o administrador da organização ou de segurança provisiona a conta de serviço do Cloud KMS com o papel de agente de serviço do Cloud KMS (cloudkms.orgServiceAgent). Para fazer isso, eles podem usar o seguinte comando da CLI do Google Cloud:


gcloud organizations add-iam-policy-binding ORG_NUMBER \
      --member="serviceAccount:service-org-ORG_NUMBER@gcp-sa-cloudkms.iam.gserviceaccount.com" \
        --role='roles/cloudkms.orgServiceAgent'
        

Substitua ORG_NUMBER pelo número da organização, que é o ID numérico.

Níveis de visibilidade

O painel de acompanhamento de chaves tem dois níveis de visibilidade.

  • Ver resumo da chave: qualquer usuário com a permissão cloudkms.cryptoKeys.get em uma chave pode ver um resumo dos recursos protegidos da chave no painel. Isso inclui o número de recursos protegidos, quantos projetos usam essa chave e quantos produtos exclusivos do Cloud usam essa chave. Esse é o primeiro nível de visibilidade.

  • Ver os detalhes da chave: o segundo nível de visibilidade é uma visualização detalhada das chaves que também precisa ser concedida pelo administrador da organização. Conceda ao usuário acesso detalhado e detalhado a recursos usando o seguinte comando da CLI gcloud:


gcloud organizations add-iam-policy-binding ORG_NUMBER  \
      --member="user:USER_EMAIL " \
        --role='roles/cloudkms.protectedResourcesViewer'
        

Acessar o painel

Use o Console do Google Cloud para ver as chaves e acessar o painel de rastreamento de chaves.

Console

  1. Acesse a página Gerenciamento de chaves no Console do Google Cloud.

    Acessar a página "Gerenciamento de chaves"

  2. Clique no nome do keyring que contém a chave que você quer visualizar.

  3. Clique no nome da chave.

  4. Clique na guia Acompanhamento de uso.

Ver atributos da chave

O painel de rastreamento de chaves fornece informações abrangentes sobre os recursos protegidos pelas suas chaves criptográficas.

Os principais atributos incluem:

  • Nome do recurso: nome do recurso do Google Cloud em que uma chave está sendo usada.
  • Nome do projeto: nome do projeto com que uma chave está sendo usada.
  • Versão da chave: a versão da chave específica que está sendo usada com um recurso específico.
  • Produto do Cloud: o produto do Google Cloud usado para criptografar uma chave (Compute Engine, Cloud SQL, Cloud Storage etc.).
  • Tipo de recurso: o tipo de recurso que uma chave está sendo usada para criptografar (como Bucket [Cloud Storage], Disco [Compute Engine] e assim por diante).
  • Data de criação: horário em que o recurso foi criado.
  • Rótulos: é um conjunto de pares de chave-valor que ajuda a organizar seus recursos.

Classificar e filtrar chaves

É possível classificar e filtrar chaves com base em vários atributos.

Console

  1. Acesse a página Gerenciamento de chaves no Console do Google Cloud.

    Acessar a página "Gerenciamento de chaves"

  2. Clique no nome do keyring que contém a chave que você quer visualizar.

  3. Clique no nome da chave.

  4. Clique na guia Acompanhamento de uso.

  5. Clique em "Filtrar", acima do atributo Nome.

  6. Selecione o atributo a ser usado para filtrar chaves.

Limitações

Ao usar o painel de acompanhamento de chaves, observe o seguinte:

  • Suporte atrasado ao Google Cloud Storage: o painel de rastreamento de chaves inclui suporte limitado às chaves usadas com o Google Cloud Storage. Isso significa que apenas as chaves configuradas em um bucket são refletidas no painel.
  • Apenas para fins informativos: os detalhes exibidos no painel de acompanhamento principal são apenas para fins informativos. Faça a própria análise separadamente do que aparece no painel de controle antes de tomar decisões que possam resultar na perda de dados, especialmente decisões sobre a programação de chaves para destruição.

Na visualização, os tipos de recursos compatíveis incluem e estão limitados a:

  • artifactregistry.googleapis.com/Repository
  • bigquery.googleapis.com/Dataset
  • bigquery.googleapis.com/Table
  • bigtableadmin.googleapis.com/Backup
  • bigtableadmin.googleapis.com/Cluster
  • cloudfunctions.googleapis.com/CloudFunction
  • composer.googleapis.com/Environment
  • compute.googleapis.com/Disk
  • compute.googleapis.com/Image
  • compute.googleapis.com/Snapshot
  • dataproc.googleapis.com/Cluster
  • documentai.googleapis.com/Processor
  • pubsub.googleapis.com/Topic
  • spanner.googleapis.com/Database
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket*

* Exibe apenas a chave, não a versão da chave

Se uma chave for usada com um tipo de recurso que não aparece na lista acima, o uso dele no tipo de recurso não será refletido no painel de rastreamento de chaves.