使用密钥跟踪信息中心

Cloud KMS 密钥跟踪信息中心会显示组织中依赖和受 KMS 密钥保护的 Cloud 资源。密钥跟踪信息中心会显示您的哪些密钥正被其他 Google Cloud 资源和服务使用。

配置密钥跟踪信息中心

请按照以下步骤启用密钥跟踪信息中心。

  1. 转到 Google Cloud Console 中的密钥管理页面。

    转到“密钥管理”页面

  2. 点击密钥环密钥清单以访问密钥。

  3. 点击密钥名称,即可转到所选密钥的详细信息页面。您将会看到一个名为使用情况跟踪的标签。

  4. 点击使用情况跟踪标签页。此时,系统会打开相应密钥的密钥跟踪信息中心。您将看到一条错误消息,指出该服务帐号必须先获得权限,然后才能使用信息中心。请注意,只有对您的组织拥有 resourcemanager.organizations.setIamPolicy 权限的用户才能启用密钥跟踪信息中心。组织管理员 (roles/resourcemanager.organizationAdmin)安全管理员 (roles/iam.securityAdmin) 角色拥有此权限。

  5. 如需启用信息中心并访问密钥使用情况跟踪,组织管理员或安全管理员为 Cloud KMS 服务帐号预配了 Cloud KMS 服务代理 (cloudkms.orgServiceAgent) 角色。为此,他们可以使用以下 Google Cloud CLI 命令:


gcloud organizations add-iam-policy-binding ORG_NUMBER \
      --member="serviceAccount:service-org-ORG_NUMBER@gcp-sa-cloudkms.iam.gserviceaccount.com" \
        --role='roles/cloudkms.orgServiceAgent'
        

将 ORG_NUMBER 替换为组织编号,即您的组织的数字 ID。

公开范围级别

密钥跟踪信息中心有两个可见性级别。

  • 查看密钥摘要 - 任何拥有 Cloudkms.cryptoKeys.get 密钥权限的用户都可以在信息中心内查看密钥保护资源的摘要。这包括受保护资源的数量、使用此密钥的项目数量,以及使用此密钥的唯一 Cloud 产品数量。这是第一个公开范围级别。

  • 查看密钥详情 - 第二级可见性是密钥的详细视图,必须由组织管理员授予。使用以下 gcloud CLI 命令向用户授予详细的受保护资源访问权限:


gcloud organizations add-iam-policy-binding ORG_NUMBER  \
      --member="user:USER_EMAIL " \
        --role='roles/cloudkms.protectedResourcesViewer'
        

访问信息中心

使用 Google Cloud Console 查看密钥以及访问密钥跟踪信息中心。

控制台

  1. 转到 Google Cloud Console 中的密钥管理页面。

    转到“密钥管理”页面

  2. 点击包含您要查看的密钥的密钥环的名称。

  3. 点击相应键的名称。

  4. 点击使用情况跟踪标签页。

查看关键属性

密钥跟踪信息中心提供了受加密密钥保护的资源的全面信息。

关键属性包括:

  • 资源名称:正在使用的密钥的 Google Cloud 资源的名称。
  • 项目名称:使用密钥的项目的名称。
  • 密钥版本:用于特定资源的特定密钥版本。
  • 云产品:用于加密密钥的 Google Cloud 产品(Compute Engine、Cloud SQL、Cloud Storage 等)。
  • Resource type:密钥用于加密的资源类型(例如存储分区 [Cloud Storage]、磁盘 [Compute Engine] 等)。
  • 创建日期:资源的创建时间。
  • 标签:有助于整理资源的一组键值对。

对密钥进行排序和过滤

您可以根据多个属性对键进行排序和过滤。

控制台

  1. 转到 Google Cloud Console 中的密钥管理页面。

    转到“密钥管理”页面

  2. 点击包含您要查看的密钥的密钥环的名称。

  3. 点击相应键的名称。

  4. 点击使用情况跟踪标签页。

  5. 点击名称属性上方的“过滤条件”。

  6. 选择要用于过滤键的属性。

限制

使用密钥跟踪信息中心时,请注意以下事项:

  • 对 Google Cloud Storage 的延迟支持:密钥跟踪信息中心对用于 Google Cloud Storage 的密钥提供有限的支持。也就是说,只有在存储分区上配置的键才会反映在信息中心内。
  • 这些信息仅供参考:密钥跟踪信息中心内显示的详细信息仅供参考。在做出可能会导致数据丢失的决定(尤其是有关安排密钥销毁)之前,您应自行进行与尽职调查有关的尽职调查。

在预览版中,受支持的资源类型包括但不限于:

  • artifactregistry.googleapis.com/Repository
  • bigquery.googleapis.com/Dataset
  • bigquery.googleapis.com/Table
  • bigtableadmin.googleapis.com/Backup
  • bigtableadmin.googleapis.com/Cluster
  • cloudfunctions.googleapis.com/CloudFunction
  • composer.googleapis.com/Environment
  • compute.googleapis.com/Disk
  • compute.googleapis.com/Image
  • compute.googleapis.com/Snapshot
  • dataproc.googleapis.com/Cluster
  • documentai.googleapis.com/Processor
  • pubsub.googleapis.com/Topic
  • spanner.googleapis.com/Database
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket*

* 仅显示密钥,不显示密钥版本

如果某个键用于的资源类型未在上方列表中显示,则该键在资源类型中的使用不会反映在键跟踪信息中心内。