Ver claves por proyecto

En esta página, se muestra cómo ver los llaveros de claves y las claves en el recurso de proyecto de Google Cloud.

Antes de comenzar

Antes de ver las claves y los llaveros de claves, completa los pasos de configuración que se describen en esta sección.

Habilita las APIs

Para ver los llaveros de claves y las claves con una API, habilita la API de inventario de Cloud KMS.

Habilitar la API

Funciones obligatorias

Si quieres obtener los permisos que necesitas para ver las claves, solicita a tu administrador que te otorgue el rol de IAM de Visualizador de Cloud KMS (roles/cloudkms.viewer) en tu proyecto. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso.

Este rol predefinido contiene los permisos necesarios para ver las claves. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:

Permisos necesarios

Se requieren los siguientes permisos para ver las claves:

  • cloudkms.keyRings.list
  • cloudkms.cryptoKeys.list
  • cloudkms.locations.list
  • resourcemanager.projects.get

También puedes obtener estos permisos con roles personalizados o, también, otros roles predefinidos.

Ver llaveros de claves

Console

  1. En la consola de Google Cloud, ve a la página Llaveros de claves.

    Ir a Llaveros de claves

  2. Opcional: Para filtrar tu lista de llaveros de claves, ingresa los términos de búsqueda en el cuadro filter_list Filtro y, luego, presiona Intro.

  3. Opcional: Para ordenar la lista por los valores de una columna, haz clic en el encabezado de la columna.

Mientras visualizas tus llaveros de claves, puedes seleccionar uno para ver los detalles de las claves asociadas y los trabajos de importación.

Ver claves

Usa la consola de Google Cloud para ver las claves creadas en el recurso de tu proyecto.

Console

  1. En la consola de Google Cloud, ve a la página Inventario clave.

    Ir a Inventario clave

  2. Opcional: Para filtrar tu lista de claves, ingresa los términos de búsqueda en el cuadro Filtro filter_list y, luego, presiona Intro.

  3. Opcional: Para ordenar la lista por los valores de una columna, haz clic en el encabezado de la columna.

gcloud CLI

Para usar Cloud KMS en la línea de comandos, primero instala la versión más reciente de Google Cloud CLI o actualízala a la versión más reciente.

gcloud kms inventory list-keys --project PROJECT_ID

Reemplaza PROJECT_ID por el nombre del proyecto del que deseas ver la lista de claves.

Para obtener información sobre todas las marcas y los valores posibles, ejecuta el comando con la marca --help.

API

En estos ejemplos, se usa curl como un cliente HTTP para demostrar el uso de la API. Para obtener más información sobre el control de acceso, consulta Accede a la API de Cloud KMS. 

curl "https://kmsinventory.googleapis.com/v1/projects/PROJECT_ID/cryptoKeys"
    --request "GET" \
    --header "x-goog-user-project: CALLING_PROJECT_ID"
    --header "Content-Type: application/json" \
    --header "Authorization: Bearer TOKEN"

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID del proyecto que contiene el llavero de claves.
  • CALLING_PROJECT_ID: Es el ID del proyecto desde el que llamas a la API de KMS Inventory.

Mientras ves tus claves, puedes seleccionar una para ver sus detalles, incluidas sus versiones de clave asociadas.

Detalles clave

El inventario de claves proporciona información completa sobre las claves criptográficas de tu proyecto. Entre las propiedades en el inventario de claves, se incluyen las siguientes:

  • Nombre de la clave: Es el nombre de la clave.
  • Estado: El estado actual de la clave según el state de la versión de la clave primaria. Este campo se aplica solo a las claves simétricas.
    • Disponible: La versión de clave primaria está habilitada. La clave está disponible para encriptar y desencriptar datos.
    • No disponible: La versión de la clave primaria está inhabilitada o vacía. La clave no está disponible para encriptar datos.
    • Disponible en GCP: En el caso de las claves administradas de forma externa, la clave (no necesariamente la administrada de forma externa) está disponible para usarse.
  • Llavero de claves: Nombre del llavero de claves superior.
  • Ubicación: Es la ubicación donde reside el material de claves.
  • Rotación actual: Es la fecha y hora en que se rotó la clave por última vez. Este campo muestra cuándo se creó la versión de clave actual.
  • Frecuencia de rotación: Es la frecuencia de rotación actual de la clave.
  • Siguiente rotación: Es la fecha de la siguiente rotación de claves programada. En esta fecha, se creará automáticamente una versión nueva de la clave.
  • Nivel de protección: El nivel de protección de la clave, por ejemplo, HSM o software.
  • EKM a través de una conexión de VPC: Para claves externas a las que se accede a través de VPC, el nombre del EKM a través de la conexión de VPC que usa la clave. Este campo está oculto de manera predeterminada y está en blanco para las claves con niveles de protección distintos de External via VPC.
  • Propósito: Es la situación en la que se puede usar la clave.
  • Etiquetas: Son las etiquetas aplicadas en la clave.

Limitaciones

  • En la pestaña Llavero de claves,se pueden mostrar 1, 000 recursos como máximo (incluidos llaveros de claves, claves y versiones de claves) por ubicación. Para ver los llaveros de claves de un proyecto y una ubicación con más de 1,000 recursos, usa la API de keyRings.list.

  • En la pestaña Inventario de claves,se pueden mostrar 20, 000 recursos como máximo (incluidos llaveros de claves, claves y versiones de claves) por proyecto. Para ver las claves de un proyecto con más de 20,000 recursos, usa la API de keyRings.cryptoKeys.list.