Schlüssel beschriften

Mit Labels können zusammenhängende oder verknüpfte Schlüssel auf ressourcenschonende Weise gruppiert werden. Sie sind außerdem hervorragend zum Erfassen von Positionen bei der Abrechnung geeignet. Zusätzlich zu den Schlüsselbunden, die eine hierarchische Gruppierung von Schlüsseln ermöglichen, können Schlüssel mit Labels so organisiert oder verfolgt werden, wie es für Sie am verständlichsten ist. Beispielsweise können Schlüssel nach Kostenstelle oder Umgebung benannt werden. Labels sind optional.

Im Cloud Key Management Service können nur Schlüssel mit Labels versehen werden.

Labels sind in Ihrer Rechnung enthalten, sodass Sie die Verteilung der Kosten auf Ihre Labels sehen können.

Labels sind key:value-Metadatenpaare, mit denen Sie Ihre Schlüssel gruppieren können. (Der key in key:value bezieht sich auf einen Attributschlüssel, nicht auf einen Schlüssel.) Beispielsweise haben Sie die Möglichkeit, mithilfe von Labels einen team-Schlüssel mit den Werten alpha, beta und delta zu erstellen und die Labels team:alpha, team:beta und team:delta auf verschiedene Schlüssel anzuwenden, um damit anzugeben, welches Team mit diesen Schlüsseln verknüpft ist.

Mit dem gcloud-Befehlszeilentool und der Cloud KMS REST API können Sie Schlüssellabels hinzufügen, aktualisieren und entfernen.

Sie können Labels auch mit anderen Google Cloud-Ressourcen verwenden, z. B. VM-Ressourcen und Storage-Buckets. Weitere Informationen zum Verwenden von Labels in Google Cloud finden Sie unter Labels erstellen und verwalten.

Hinweis

  • Installieren Sie das Cloud SDK, wenn Sie die Befehlszeilenbeispiele in dieser Anleitung verwenden möchten.
  • Richten Sie den API-Zugang ein, wenn Sie die API-Beispiele in dieser Anleitung verwenden möchten.

Spezifikationen

Sie können jedem Schlüssel mehrere Labels zuweisen. Einem Schlüssel können maximal 64 Labels zugewiesen sein.

  • Schlüssel und Werte dürfen jeweils nicht mehr als 63 Zeichen umfassen.

  • Schlüssel und Werte dürfen nur Kleinbuchstaben, Ziffern, Unterstriche und Bindestriche enthalten. Internationale Zeichen sind erlaubt.

  • Labelschlüssel müssen mit einem Kleinbuchstaben beginnen. Ein internationales Zeichen ist zugelassen.

  • Labelschlüssel dürfen nicht leer sein.

Schlüssel mit Labels erstellen

Wenn Sie einen Schlüssel erstellen, können Sie Labels hinzufügen, indem Sie ein oder mehrere Schlüssel/Wert-Paare als Labels angeben, wenn Sie Ihren Schlüssel erstellen.

gcloud

Fügen Sie Labels hinzu, wenn Sie einen neuen Schlüssel erstellen, indem Sie das Flag --labels gefolgt von einer durch Kommas getrennten Liste von Schlüssel/Wert-Paaren angeben. Mit dem folgenden Befehl werden dem Schlüssel beispielsweise zwei Labels hinzugefügt, und zwar team=alpha und cost_center=cc1234:

 gcloud kms keys create key-name \
    --location location \
    --keyring keyring-name \
    --purpose purpose \
    --labels 'team=alpha,cost_center=cc1234'

Wenn Sie denselben Labelschlüssel zweimal angeben, wie bei team=alpha,team=beta, überschreibt der zuletzt angegebene Wert frühere Werte. In diesem Beispiel ist team auf beta gesetzt.

API

Beim Erstellen neuer Schlüssel können Sie mit der Methode CryptoKeys.create Labels hinzufügen, indem Sie das Attribut labels in den Anfragetext aufnehmen. Beispiel:

 {
  "purpose": "ENCRYPT_DECRYPT",
   "labels": [
   {
     "key": "team",
    "value": "alpha"
   },
   {
     "key": "cost_center",
     "value": "cc1234"
   }
  ]
 }
 

Wenn Sie denselben Labelschlüssel zweimal angeben, überschreibt der zuletzt angegebene Wert frühere Werte. In diesem Beispiel ist team auf beta gesetzt.

"labels": [
{
  "key": "team",
  "value": "alpha"
},
{
  "key": "team",
  "value": "beta"
}
]

Labels auf einem Schlüssel ansehen

gcloud

Rufen Sie eine Beschreibung des Schlüssels ab, wenn Sie die Labels ansehen möchten, die einem Schlüssel zugewiesen sind:

gcloud kms keys describe key-name \
  --location location \
  --keyring keyring-name

API

Mit der Methode cryptoKeys.get können Sie die Labels ansehen, die dem Schlüssel zugewiesen sind.

curl -X GET -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  "https://cloudkms.googleapis.com/v1/projects/project-id/locations/location/keyRings/keyring-name/cryptoKeys/key-name"

Labels hinzufügen oder aktualisieren

gcloud

Mit dem Befehl update können Sie Labels einem vorhandenen Schlüssel hinzufügen oder diese aktualisieren. Geben Sie dabei das Flag --update-labels an, gefolgt von einer durch Kommas getrennten Liste mit Schlüsselwertpaaren. Mit diesem Befehl wird beispielsweise das Label cost_center hinzugefügt, falls es noch nicht vorhanden ist, oder das Label cost_center aktualisiert, falls es bereits vorhanden ist.

gcloud kms keys update key-name \
  --location location \
  --keyring keyring-name \
  --update-labels 'cost_center=cc5678'

API

Verwenden Sie die Methode CryptoKeys.patch, um Labels einem bestehenden Schlüssel hinzuzufügen oder vorhandene Labels zu aktualisieren. Schließen Sie dabei das Attribut labels in den Anfragetext ein. Beispiel:

{
 ...,
  "labels": [
  {
    "key": "team",
    "value": "alpha"
  },
  {
    "key": "cost_center",
    "value": "cc5678"
  }
 ]
}

Labels entfernen

gcloud

Sie entfernen Labels aus einem vorhandenen Schlüssel, indem Sie den Befehl update mit dem Flag --remove-labels, gefolgt von einer durch Kommas getrennten Liste mit Labelschlüsseln, verwenden. Mit diesem Befehl werden beispielsweise die Labels team und cost_center entfernt. Die Labelwerte müssen nicht angegeben werden.

 gcloud kms keys update key-name \
  --location location \
  --keyring keyring-name \
  --remove-labels 'team,cost_center'

API

Entfernen Sie Labels aus einem vorhandenen Schlüssel mit der Methode CryptoKeys.patch. Schließen Sie dabei das Attribut labels als leeres Array in den Anfragetext ein. Beispiel:

{
 ...,
  "labels": [
 ]
}

Audit-Logging

Cloud-Audit-Logs für Cloud KMS können zum Loggen von Labelinformationen beim Erstellen oder Aktualisieren von Schlüsseln verwendet werden. Die Erstellung und Aktualisierung von Schlüsseln sind Administrationsaktivitäten und Änderungen an Labels werden im Administratoraktivitätslog erfasst.