鍵のラベル付け

ラベルは互いに関連するをグループ化するための簡単な方法であり、請求処理でアイテムを追跡するのに最適です。鍵を階層的にグループ化できる鍵リングに加え、ラベルを使用すると各自に最適な方法で鍵を整理したり追跡したりできます。たとえば、コストセンターや環境別に鍵にラベルを付けることができます。ラベルはオプションです。

Cloud Key Management Service では、鍵にのみラベルを付けることができます。

ラベルは請求書に記載されるため、ラベル間でのコストの分散を確認できます。

ラベルは鍵をグループ化できるようにする key:value メタデータペアです(key:valuekey は、鍵ではなく属性キーを指します)。たとえば、ラベルを使用して alphabetadelta の値を持つ team キーを作成し、team:alphateam:betateam:delta ラベルを異なる鍵に割り当てて、どのチームがそれらの鍵に関連付けられているかを示すことができます。

鍵ラベルは、gcloud コマンドライン ツールや Cloud KMS REST API を使用して、追加、更新、削除できます。

仮想マシンリソースストレージ バケットなどの他の Google Cloud Platform(GCP)リソースでもラベルを使用できます。GCP でラベルを使用する方法の詳細については、ラベルの作成と管理をご覧ください。

始める前に

仕様

各鍵に複数のラベルを適用することができます。鍵ごとのラベルの最大数は 64 個です。

  • キーと値は、それぞれ 63 文字以下にする必要があります。

  • キーと値には、小文字、数字、アンダースコア、ダッシュのみを使用できます。国際文字も使用できます。

  • ラベルのキーは小文字で始める必要があります。国際文字も使用できます。

  • ラベルのキーは空にできません。

ラベル付き鍵の作成

鍵の作成時に、1 つ以上のキーと値のペアをラベルとして指定することにより、ラベルを追加できます。

gcloud

新しい鍵を作成するときに、--labels フラグを指定し、それに続けてキーと値のペアをカンマ区切りのリストとして指定することで、ラベルを追加します。たとえば、次のコマンドは鍵に team=alphacost_center=cc1234 の 2 つのラベルを追加します。

gcloud kms keys create CRYPTOKEY_NAME \
--location LOCATION --keyring KEYRING_NAME \
--purpose encryption --labels team=alpha,cost_center=cc1234

team=alpha,team=beta のように、同じラベルキーを 2 回指定すると、最後に指定された値が有効になります。この場合は team=beta です。

API

鍵ラベルを追加するには、CryptoKeys.create メソッドで鍵を新規作成するときにリクエスト本文に labels プロパティを指定します。次に例を示します。

{
 "purpose": "ENCRYPT_DECRYPT",
  "labels": [
  {
    "key": "team",
    "value": "alpha"
  },
  {
    "key": "cost_center",
    "value": "cc1234"
  }
 ]
}

次のように、同じラベルキーを 2 回指定した場合に注意してください。

  "labels": [
  {
    "key": "team",
    "value": "alpha"
  },
  {
    "key": "team",
    "value": "beta"
  }
 ]

最後に指定された値が有効になります。この場合は次のようになります。

  {
    "key": "team",
    "value": "beta"
  }

鍵のラベルの表示

gcloud

鍵に適用されたラベルを確認するには、次のように鍵の記述を取得します。

gcloud kms keys describe CRYPTOKEY_NAME \
--location LOCATION --keyring KEYRING_NAME

API

鍵に適用されたラベルを確認するには、次のように cryptoKeys.get メソッドを使用します。

curl -X GET -H "Authorization: Bearer $(gcloud auth print-access-token)" \
"https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEYRING_NAME/cryptoKeys/CRYPTOKEY_NAME"

ラベルの追加または更新

gcloud

既存の鍵にラベルを追加したりラベルを更新したりするには、update コマンドを使用し、--update-labels フラグと、それに続くキーと値のペアのカンマ区切りのリストを指定します。たとえば次のコマンドは、cost_center ラベルが存在しない場合にはこのラベルを追加し、すでに存在する場合は cost_center ラベルを更新します。

gcloud kms keys update CRYPTOKEY_NAME \
--location LOCATION --keyring KEYRING_NAME \
--update-labels cost_center=cc5678

API

既存の鍵にラベルを追加する、または既存のラベルを更新するには、CryptoKeys.patch メソッドを使用し、リクエスト本文に labels プロパティを指定します。次に例を示します。

{
 ...,
  "labels": [
  {
    "key": "team",
    "value": "alpha"
  },
  {
    "key": "cost_center",
    "value": "cc5678"
  }
 ]
}

ラベルの削除

gcloud

既存の鍵からラベルを削除するには、update コマンドを使用し、--remove-labels フラグと、それに続くラベルキーのカンマ区切りのリストを指定します。たとえば、次のコマンドは、team ラベルと cost_center ラベルを削除します。ラベル値を指定する必要はありません。

gcloud kms keys update CRYPTOKEY_NAME \
--location LOCATION --keyring KEYRING_NAME \
--remove-labels team,cost_center

API

既存の鍵からラベルを削除するには、CryptoKeys.patch メソッドを使用します。リクエスト本文に labels プロパティを含めて、空の配列を指定します。次に例を示します。

{
 ...,
  "labels": [
 ]
}

監査ログ

キーが作成または更新されたときに、Cloud KMS の Cloud Audit Logging を使用してラベル情報を記録できます。鍵の作成と更新はどちらも管理アクティビティであり、ラベルの変更は管理アクティビティ ログに記録されます。

このページは役立ちましたか?評価をお願いいたします。

フィードバックを送信...