プロジェクトごとに鍵を表示する

このページでは、Google Cloud プロジェクト リソースでキーリングと鍵を表示する方法について説明します。

始める前に

キーリングと鍵を表示する前に、このセクションで説明する設定手順を完了してください。

API を有効にする

API を使用してキーリングと鍵を表示するには、Cloud KMS Inventory API を有効にします。

API の有効化

必要なロール

鍵を表示するために必要な権限を取得するには、プロジェクトにおける Cloud KMS 閲覧者roles/cloudkms.viewer)の IAM ロールの付与を管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織へのアクセスを管理するをご覧ください。

この事前定義ロールには、鍵の表示に必要な権限が含まれています。必要とされる正確な権限については、「必要な権限」セクションを開いてご確認ください。

必要な権限

鍵を表示するには、次の権限が必要です。

  • cloudkms.keyRings.list
  • cloudkms.cryptoKeys.list
  • cloudkms.locations.list
  • resourcemanager.projects.get

カスタムロールや他の事前定義ロールを使用して、これらの権限を取得することもできます。

キーリングを表示

Console

  1. Google Cloud コンソールで [キーリング] ページに移動します。

    [キーリング] に移動

  2. 省略可: キーリングのリストをフィルタリングするには、[filter_list] の [フィルタ] ボックスに検索キーワードを入力し、Enter キーを押します。

  3. 省略可: 列の値でリストを並べ替えるには、列の見出しをクリックします。

キーリングの表示中にキーリングを選択すると、関連する鍵とインポート ジョブの詳細が表示されます。

キーを表示

Google Cloud コンソールを使用して、プロジェクト リソースで作成された鍵を表示します。

Console

  1. Google Cloud コンソールで、[主なインベントリ] ページに移動します。

    [鍵のインベントリ] に移動

  2. 省略可: キーのリストをフィルタリングするには、[filter_list] の [フィルタ] ボックスに検索キーワードを入力し、Enter キーを押します。

  3. 省略可: 列の値でリストを並べ替えるには、列の見出しをクリックします。

gcloud CLI

コマンドラインで Cloud KMS を使用するには、まず Google Cloud CLI の最新バージョンをインストールまたはアップグレードします

gcloud kms inventory list-keys --project PROJECT_ID

PROJECT_ID は、鍵のリストを表示するプロジェクトの名前に置き換えます。

すべてのフラグと有効な値については、--help フラグを指定してコマンドを実行してください。

API

これらの例では、HTTP クライアントとして curl を使用して API の使用例を示しています。アクセス制御の詳細については、Cloud KMS API へのアクセスをご覧ください。

curl "https://kmsinventory.googleapis.com/v1/projects/PROJECT_ID/cryptoKeys"
    --request "GET" \
    --header "x-goog-user-project: CALLING_PROJECT_ID"
    --header "Content-Type: application/json" \
    --header "Authorization: Bearer TOKEN"

以下を置き換えます。

  • PROJECT_ID: キーリングを含むプロジェクトの ID。
  • CALLING_PROJECT_ID: KMS Inventory API を呼び出すプロジェクトの ID。

鍵の表示中に鍵を選択すると、その鍵に関連する鍵バージョンなどの詳細が表示されます。

鍵の詳細

鍵のインベントリには、プロジェクトの暗号鍵に関する包括的な情報が表示されます。鍵のインベントリでのプロパティには次のものがあります。

  • 鍵名: 鍵の名前。
  • ステータス: 一次鍵バージョンの状態に基づく、現在の鍵のステータス。このフィールドは、対称鍵にのみ適用されます。
    • 使用可能: メインの鍵バージョンが有効になります。この鍵はデータの暗号化と復号に使用できます。
    • 使用不可: 一次鍵バージョンが無効であるか、空です。この鍵はデータの暗号化には使用できません。
    • GCP で使用可能: 外部で管理されている鍵の場合、(必ずしも外部で管理されている鍵自体ではなく)この鍵を使用できます。
  • キーリング: 親キーリングの名前。
  • 場所: 鍵マテリアルが存在する場所
  • 現在のローテーション: 鍵が最後にローテーションされた日時。このフィールドには、現在の鍵バージョンが作成された日時が表示されます。
  • ローテーション頻度: 鍵の現在のローテーション頻度。
  • 次のローテーション: 次のスケジュールされた鍵のローテーション日。この日に新しい鍵バージョンが自動的に作成されます。
  • 保護レベル: 鍵の保護レベル(HSM やソフトウェアなど)。
  • VPC 接続を介した EKM: VPC 接続を介してアクセスされる外部鍵の場合、鍵が使用する VPC 接続を介した EKM の名前。このフィールドはデフォルトでは非表示になり、保護レベルが External via VPC 以外の鍵では空白になります。
  • 目的: 鍵を使用できるシナリオ。
  • ラベル: キーに適用されているラベル。

制限事項

  • [キーリング] タブには、ロケーションごとに最大 1,000 個のリソース(キーリング、鍵、鍵バージョンを含む)を表示できます。1,000 を超えるリソースがあるプロジェクトとロケーションのキーリングを表示するには、keyRings.list API を使用します。

  • [鍵のインベントリ] タブには、プロジェクトごとに最大 20,000 のリソース(鍵リング、鍵、鍵バージョンを含む)を表示できます。20,000 を超えるリソースがあるプロジェクトの鍵を表示するには、keyRings.cryptoKeys.list API を使用します。