Ver claves por proyecto

En esta página se explica cómo ver los conjuntos de claves y las claves de tu Google Cloud recurso de proyecto.

Antes de empezar

Para poder ver los llaveros y las claves, debes completar los pasos de configuración que se describen en esta sección.

Habilitar APIs

Para ver los conjuntos de claves y las claves mediante una API, habilita la API Cloud KMS Inventory.

Activar la API

Roles obligatorios

Para obtener los permisos que necesitas para ver las claves, pide a tu administrador que te conceda el rol de gestión de identidades y accesos Lector de Cloud KMS (roles/cloudkms.viewer) en tu proyecto. Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

Este rol predefinido contiene los permisos necesarios para ver las claves. Para ver los permisos exactos que se necesitan, despliega la sección Permisos necesarios:

Permisos obligatorios

Para ver las claves, se necesitan los siguientes permisos:

  • cloudkms.keyRings.list
  • cloudkms.cryptoKeys.list
  • cloudkms.locations.list
  • resourcemanager.projects.get

También puedes obtener estos permisos con roles personalizados u otros roles predefinidos.

Ver conjuntos de claves

Consola

  1. En la Google Cloud consola, ve a la página Conjuntos de claves.

    Ir a llaveros

  2. Opcional: Para filtrar la lista de llaveros, introduce los términos de búsqueda en el cuadro filter_list Filtrar y, a continuación, pulsa Intro.

  3. Opcional: Para ordenar la lista por los valores de una columna, haz clic en el encabezado de la columna.

Mientras ves tus conjuntos de claves, puedes seleccionar uno para ver los detalles de las claves y los trabajos de importación asociados.

Ver claves

Usa la consola de Google Cloud para ver las claves creadas en el recurso de tu proyecto.

Consola

  1. En la Google Cloud consola, ve a la página Inventario de claves.

    Ir a Inventario de claves

  2. Opcional: Para filtrar la lista de claves, introduzca los términos de búsqueda en el cuadro filter_list Filtrar y, a continuación, pulse Intro.

  3. Opcional: Para ordenar la lista por los valores de una columna, haz clic en el encabezado de la columna.

CLI de gcloud

Para usar Cloud KMS en la línea de comandos, primero instala o actualiza a la versión más reciente de la CLI de Google Cloud.

gcloud kms inventory list-keys --project PROJECT_ID

Sustituye PROJECT_ID por el nombre del proyecto del que quieras ver la lista de claves.

Para obtener información sobre todas las marcas y los valores posibles, ejecuta el comando con la marca --help.

API

En estos ejemplos se usa curl como cliente HTTP para mostrar cómo se usa la API. Para obtener más información sobre el control de acceso, consulta el artículo sobre cómo acceder a la API Cloud KMS.

curl "https://kmsinventory.googleapis.com/v1/projects/PROJECT_ID/cryptoKeys"
    --request "GET" \
    --header "x-goog-user-project: CALLING_PROJECT_ID"
    --header "Content-Type: application/json" \
    --header "Authorization: Bearer TOKEN"

Haz los cambios siguientes:

  • PROJECT_ID: el ID del proyecto que contiene el conjunto de claves.
  • CALLING_PROJECT_ID: el ID del proyecto desde el que llamas a la API KMS Inventory.

Mientras ves tus claves, puedes seleccionar una para ver información sobre ella, incluidas las versiones de clave asociadas.

Datos importantes

El inventario de claves proporciona información completa sobre las claves criptográficas de tu proyecto. Las propiedades del inventario de claves incluyen lo siguiente:

  • Nombre de la clave: el nombre de la clave.
  • Estado: el estado actual de la clave en función del estado de la versión de la clave principal. Este campo solo se aplica a las claves simétricas.
    • Disponible: la versión de la clave principal está habilitada. La clave está disponible para cifrar y descifrar datos.
    • No disponible: la versión de la clave principal está inhabilitada o vacía. La clave no se puede usar para cifrar datos.
    • Disponible en GCP: en el caso de las claves gestionadas de forma externa, la clave (no necesariamente la clave gestionada de forma externa en sí) se puede usar.
  • Conjunto de claves: nombre del conjunto de claves principal.
  • Ubicación: ubicación en la que reside el material de la clave.
  • Rotación actual: la fecha y la hora en las que se rotó la clave por última vez. Este campo muestra cuándo se creó la versión de clave actual.
  • Frecuencia de rotación: la frecuencia de rotación actual de la clave.
  • Próxima rotación: la fecha de la próxima rotación de claves programada. En esta fecha, se creará automáticamente una nueva versión de la clave.
  • Nivel de protección: el nivel de protección de la clave, por ejemplo, HSM o Software.
  • EKM a través de la conexión de VPC: en el caso de las claves externas a las que se accede a través de la VPC, el nombre de la conexión de EKM a través de la VPC que utiliza la clave. Este campo está oculto de forma predeterminada y está en blanco en las claves con niveles de protección distintos de External via VPC.
  • Propósito: el caso en el que se puede usar la clave.
  • Etiquetas: etiquetas aplicadas a la clave.

Limitaciones

  • En la pestaña Conjunto de claves se pueden mostrar hasta 1000 recursos (incluidos conjuntos de claves, claves y versiones de claves) por ubicación. Para ver los conjuntos de claves de un proyecto y una ubicación con más de 1000 recursos, usa la API keyRings.list.

  • La pestaña Inventario de claves puede mostrar un máximo de 20.000 recursos (incluidos los conjuntos de claves, las claves y las versiones de claves) por proyecto. Para ver las claves de un proyecto con más de 20.000 recursos, usa la API keyRings.cryptoKeys.list.