Schlüssel nach Projekt ansehen

Auf dieser Seite erfahren Sie, wie Sie Schlüsselbunde und Schlüssel in Google Cloud aufrufen Projektressource.

Hinweise

Bevor Sie Schlüsselbunde und Schlüssel aufrufen können, müssen Sie die beschriebenen Einrichtungsschritte ausführen in diesem Abschnitt.

APIs aktivieren

Aktivieren Sie Cloud KMS, um Schlüsselbunde und Schlüssel mithilfe einer API anzusehen Inventory API

API aktivieren

Erforderliche Rollen

Um die Berechtigungen zu erhalten, die Sie zum Ansehen von Schlüsseln benötigen, bitten Sie Ihren Administrator, Ihnen Die IAM-Rolle Cloud KMS-Betrachter (roles/cloudkms.viewer) für Ihr Projekt. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierte Rolle enthält Berechtigungen zum Ansehen von Schlüsseln. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Zum Ansehen von Schlüsseln sind die folgenden Berechtigungen erforderlich:

  • cloudkms.keyRings.list
  • cloudkms.cryptoKeys.list
  • cloudkms.locations.list
  • resourcemanager.projects.get

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Schlüsselringe ansehen

Console

  1. Rufen Sie in der Google Cloud Console die Seite Schlüsselringe auf.

    Schlüsselringe aufrufen

  2. Optional: Wenn Sie die Liste der Schlüsselanhänger filtern möchten, geben Sie Ihre Suchbegriffe in das Feld filter_list Filter ein und drücken Sie die Eingabetaste.

  3. Optional: Wenn Sie die Liste nach den Werten in einer Spalte sortieren möchten, klicken Sie auf die Spaltenüberschrift.

Wenn Sie sich Ihre Schlüsselringe ansehen, können Sie einen Schlüsselring auswählen, um Details zu den zugehörigen Schlüsseln und Importjobs aufzurufen.

Schlüssel ansehen

Verwenden Sie die Google Cloud Console, um die in Ihrer Projektressource erstellten Schlüssel anzusehen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Schlüsselinventar auf.

    Zum Schlüsselinventar

  2. Optional: Wenn Sie die Liste der Schlüssel filtern möchten, geben Sie Ihre Suchbegriffe in das Feld filter_list Filter ein und drücken Sie die Eingabetaste.

  3. Optional: Wenn Sie die Liste nach den Werten in einer Spalte sortieren möchten, klicken Sie auf die Spaltenüberschrift.

gcloud-CLI

Um Cloud KMS in der Befehlszeile zu verwenden, Installieren Sie die Google Cloud CLI oder führen Sie ein Upgrade auf die neueste Version durch.

gcloud kms inventory list-keys --project PROJECT_ID

Ersetzen Sie PROJECT_ID durch den Namen des Projekts, für das Sie die Liste der Schlüssel aufrufen möchten.

Wenn Sie Informationen zu allen Flags und möglichen Werten erhalten möchten, führen Sie den Befehl mit dem Flag --help aus.

API

In diesen Beispielen wird curl als HTTP-Client verwendet, um die Verwendung der API zu demonstrieren. Weitere Informationen zur Zugriffssteuerung finden Sie unter Auf die Cloud KMS API zugreifen. 

curl "https://kmsinventory.googleapis.com/v1/projects/PROJECT_ID/cryptoKeys"
    --request "GET" \
    --header "x-goog-user-project: CALLING_PROJECT_ID"
    --header "Content-Type: application/json" \
    --header "Authorization: Bearer TOKEN"

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Projekts, das den Schlüsselbund enthält.
  • CALLING_PROJECT_ID: die ID des Projekts, aus dem Sie rufen die KMS Inventory API auf.

Während Sie sich Ihre Schlüssel ansehen, können Sie einen Schlüssel auswählen, um Details dazu aufzurufen. einschließlich der zugehörigen Schlüsselversionen.

Wichtige Details

Das Schlüsselinventar bietet umfassende Informationen über die kryptografischen Schlüssel in Ihrem Projekt. Zu den Properties im Schlüsselinventar gehören:

  • Schlüsselname: Der Name des Schlüssels.
  • Status: Der aktuelle Schlüsselstatus, der auf dem Status der primären Schlüsselversion basiert. Dieses Feld gilt nur für symmetrische Schlüssel.
    • Verfügbar: Die Primärschlüsselversion ist aktiviert. Der Schlüssel kann zum Verschlüsseln und Entschlüsseln von Daten verwendet werden.
    • Nicht verfügbar: Die Primärschlüsselversion ist deaktiviert oder leer. Der Schlüssel kann nicht zum Verschlüsseln von Daten verwendet werden.
    • In der GCP verfügbar: Bei extern verwalteten Schlüsseln ist der Schlüssel (nicht unbedingt der extern verwaltete Schlüssel selbst) zur Verwendung verfügbar.
  • Schlüsselbund: Name des übergeordneten Schlüsselbunds.
  • Speicherort: Standort, an dem sich das Schlüsselmaterial befindet.
  • Aktuelle Rotation: Datum und Uhrzeit der letzten Schlüsselrotation. Dieses Feld zeigt an, wann die aktuelle Schlüsselversion erstellt wurde.
  • Rotationshäufigkeit: Die aktuelle Rotationshäufigkeit des Schlüssels.
  • Nächste Rotation: Das Datum für die nächste geplante Schlüsselrotation. Neuer Schlüssel Version wird an diesem Datum automatisch erstellt.
  • Schutzniveau: Das Schutzniveau des Schlüssels, z. B. HSM oder Software.
  • EKM-über-VPC-Verbindung: Bei externen Schlüsseln, auf die über die VPC zugegriffen wird, ändert sich der Name des Die vom Schlüssel verwendete EKM-über-VPC-Verbindung. Dieses Feld wird ausgeblendet durch Standardeinstellung und ist bei Schlüsseln mit anderen Schutzniveaus als External via VPC leer.
  • Zweck: Das Szenario, in dem der Schlüssel verwendet werden kann.
  • Labels: Auf den Schlüssel angewendete Labels.

Beschränkungen

  • Auf dem Tab Schlüsselbund können pro Standort maximal 1.000 Ressourcen (einschließlich Schlüsselbündel, Schlüssel und Schlüsselversionen) angezeigt werden. Wenn Sie Schlüsselringe für ein Projekt und einen Standort mit mehr als 1.000 Ressourcen aufrufen möchten, verwenden Sie die keyRings.list API.

  • Auf dem Tab Schlüsselinventar können maximal 20.000 Ressourcen angezeigt werden,einschließlich Schlüsselbunde, Schlüssel und Schlüsselversionen) pro Projekt. Wenn Sie Schlüssel für ein Projekt mit mehr als 20.000 Ressourcen aufrufen möchten, verwenden Sie die keyRings.cryptoKeys.list API.