このページでは、Google Cloud プロジェクト リソースでキーリングと鍵を表示する方法を説明します。
始める前に
キーリングと鍵を表示する前に、このセクションで説明する設定手順を完了してください。
API を有効にする
API を使用してキーリングと鍵を表示するには、Cloud KMS Inventory API を有効にします。
必要なロール
鍵を表示するために必要な権限を取得するには、プロジェクトにおける Cloud KMS 閲覧者(roles/cloudkms.viewer
)の IAM ロールの付与を管理者に依頼してください。ロールの付与の詳細については、アクセス権の管理をご覧ください。
この事前定義ロールには、鍵の表示に必要な権限が含まれています。必要な権限を正確に確認するには、[必要な権限] セクションを開いてください。
必要な権限
鍵を表示するには、次の権限が必要です。
-
cloudkms.keyRings.list
-
cloudkms.cryptoKeys.list
-
cloudkms.locations.list
-
resourcemanager.projects.get
カスタムロールや他の事前定義ロールを使用して、これらの権限を取得することもできます。
キーリングを表示
Console
Google Cloud コンソールで [キーリング] ページに移動します。
省略可: キーリングのリストをフィルタリングするには、[filter_list] の [フィルタ] ボックスに検索キーワードを入力し、Enter キーを押します。
省略可: 列の値でリストを並べ替えるには、列見出しをクリックします。
キーリングの表示中にキーリングを選択すると、関連する鍵とインポート ジョブの詳細が表示されます。
キーを表示
Google Cloud コンソールを使用して、プロジェクト リソースで作成された鍵を表示します。
Console
Google Cloud コンソールで、[主なインベントリ] ページに移動します。
省略可: キーのリストをフィルタリングするには、[filter_list] の [フィルタ] ボックスに検索キーワードを入力し、Enter キーを押します。
省略可: 列の値でリストを並べ替えるには、列見出しをクリックします。
gcloud CLI
コマンドラインで Cloud KMS を使用するには、まず Google Cloud CLI の最新バージョンをインストールまたはアップグレードします。
gcloud kms inventory list-keys --project PROJECT_ID
PROJECT_ID
は、鍵のリストを表示するプロジェクトの名前に置き換えます。
すべてのフラグと有効な値については、--help
フラグを指定してコマンドを実行してください。
API
これらの例では、HTTP クライアントとして curl を使用して API の使用例を示しています。アクセス制御の詳細については、Cloud KMS API へのアクセスをご覧ください。
curl "https://kmsinventory.googleapis.com/v1/projects/PROJECT_ID/cryptoKeys"
--request "GET" \
--header "x-goog-user-project: CALLING_PROJECT_ID"
--header "Content-Type: application/json" \
--header "Authorization: Bearer TOKEN"
以下を置き換えます。
PROJECT_ID
: キーリングを含むプロジェクトの ID。CALLING_PROJECT_ID
: KMS Inventory API を呼び出すプロジェクトの ID。
鍵の表示中に鍵を選択すると、その鍵に関連する鍵バージョンなどの詳細が表示されます。
鍵の詳細
鍵のインベントリには、プロジェクトの暗号鍵に関する包括的な情報が表示されます。鍵のインベントリでのプロパティには次のものがあります。
- 鍵名: 鍵の名前。
- ステータス: 一次鍵バージョンの状態に基づく、現在の鍵のステータス。このフィールドは、対称鍵にのみ適用されます。
- 使用可能: メインの鍵バージョンが有効になります。この鍵はデータの暗号化と復号に使用できます。
- 使用不可: 一次鍵バージョンが無効であるか、空です。この鍵はデータの暗号化には使用できません。
- GCP で使用可能: 外部で管理されている鍵の場合、(必ずしも外部で管理されている鍵自体ではなく)この鍵を使用できます。
- キーリング: 親キーリングの名前。
- 場所: 鍵マテリアルが存在する場所
- 現在のローテーション: 鍵が最後にローテーションされた日時。このフィールドには、現在の鍵バージョンが作成された日時が表示されます。
- ローテーション頻度: 鍵の現在のローテーション頻度。
- 次のローテーション: 次のスケジュールされた鍵のローテーション日。この日に新しい鍵バージョンが自動的に作成されます。
- 保護レベル: 鍵の保護レベル(HSM やソフトウェアなど)。
- VPC 接続を介した EKM: VPC 接続を介してアクセスされる外部鍵の場合、鍵が使用する VPC 接続を介した EKM の名前。このフィールドはデフォルトでは非表示になり、保護レベルが
External via VPC
以外の鍵では空白になります。 - 目的: 鍵を使用できるシナリオ。
- ラベル: キーに適用されているラベル。
制限事項
[キーリング] タブには、ロケーションごとに最大 1,000 個のリソース(キーリング、鍵、鍵バージョンを含む)を表示できます。1,000 を超えるリソースを含むプロジェクトとロケーションのキーリングを表示するには、keyRings.list API を使用します。
[鍵のインベントリ] タブには、プロジェクトごとに最大 20,000 のリソース(鍵リング、鍵、鍵バージョンを含む)を表示できます。20,000 を超えるリソースを含むプロジェクトの鍵を表示するには、keyRings.cryptoKeys.list API を使用します。