Visualizza chiavi per progetto

Questa pagina mostra come visualizzare i keyring e le chiavi nella risorsa del progetto Google Cloud.

Prima di iniziare

Prima di poter visualizzare i keyring e le chiavi, completa la procedura di configurazione descritta in questa sezione.

Abilita le API

Per visualizzare i keyring e le chiavi utilizzando un'API, abilita l'API Cloud KMS Inventory.

Abilitare l'API

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per visualizzare le chiavi, chiedi all'amministratore di concederti il ruolo IAM Visualizzatore Cloud KMS (roles/cloudkms.viewer) per il tuo progetto. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.

Questo ruolo predefinito contiene le autorizzazioni necessarie per visualizzare le chiavi. Per visualizzare esattamente le autorizzazioni necessarie, espandi la sezione Autorizzazioni obbligatorie:

Autorizzazioni obbligatorie

Per visualizzare le chiavi sono necessarie le seguenti autorizzazioni:

  • cloudkms.keyRings.list
  • cloudkms.cryptoKeys.list
  • cloudkms.locations.list
  • resourcemanager.projects.get

Potresti anche riuscire a ottenere queste autorizzazioni con i ruoli personalizzati o altri ruoli predefiniti.

Visualizza keyring

Console

  1. Nella console Google Cloud, vai alla pagina Key Ring.

    Vai a Portachiavi

  2. (Facoltativo) Per filtrare l'elenco di keyring, inserisci i termini di ricerca nella casella filter_list Filtro e premi Invio.

  3. (Facoltativo) Per ordinare l'elenco in base ai valori di una colonna, fai clic sull'intestazione della colonna.

Durante la visualizzazione dei keyring, puoi selezionare un keyring per visualizzare i dettagli delle chiavi associate e dei job di importazione.

Visualizza chiavi

Utilizza la console Google Cloud per visualizzare le chiavi create nella risorsa di progetto.

Console

  1. Nella console Google Cloud, vai alla pagina Inventario chiavi.

    Vai a Inventario chiavi

  2. (Facoltativo) Per filtrare l'elenco di chiavi, inserisci i termini di ricerca nella casella filter_list Filtro e premi Invio.

  3. (Facoltativo) Per ordinare l'elenco in base ai valori di una colonna, fai clic sull'intestazione della colonna.

Interfaccia a riga di comando gcloud

Per utilizzare Cloud KMS nella riga di comando, devi prima installare o eseguire l'upgrade alla versione più recente di Google Cloud CLI.

gcloud kms inventory list-keys --project PROJECT_ID

Sostituisci PROJECT_ID con il nome del progetto per il quale vuoi visualizzare l'elenco di chiavi.

Per informazioni su tutti i flag e sui possibili valori, esegui il comando con il flag --help.

API

In questi esempi viene usato curl come client HTTP per dimostrare l'utilizzo dell'API. Per ulteriori informazioni sul controllo dell'accesso, consulta Accesso all'API Cloud KMS. 

curl "https://kmsinventory.googleapis.com/v1/projects/PROJECT_ID/cryptoKeys"
    --request "GET" \
    --header "x-goog-user-project: CALLING_PROJECT_ID"
    --header "Content-Type: application/json" \
    --header "Authorization: Bearer TOKEN"

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto che contiene il keyring.
  • CALLING_PROJECT_ID: l'ID del progetto da cui stai chiamando l'API KMS Inventory.

Durante la visualizzazione delle chiavi, puoi selezionarne una per visualizzarne i dettagli, incluse le versioni della chiave associate.

Dettagli chiave

L'inventario delle chiavi fornisce informazioni complete sulle chiavi di crittografia contenute nel progetto. Le proprietà nell'inventario chiave includono quanto segue:

  • Nome chiave: il nome della chiave.
  • Stato: lo stato attuale della chiave in base allo state della versione della chiave primaria. Questo campo si applica solo alle chiavi simmetriche.
    • Disponibile: la versione della chiave primaria è abilitata. La chiave può essere utilizzata per criptare e decriptare i dati.
    • Non disponibile: la versione della chiave primaria è disabilitata o vuota. La chiave non è disponibile per l'uso per criptare i dati.
    • Disponibile in Google Cloud: per le chiavi gestite esternamente, la chiave (non necessariamente la chiave gestita esternamente) è disponibile per l'utilizzo.
  • Keyring: nome del keyring padre.
  • Posizione: località in cui si trova il materiale della chiave.
  • Rotazione corrente: la data e l'ora dell'ultima rotazione della chiave. Questo campo mostra quando è stata creata la versione corrente della chiave.
  • Frequenza di rotazione: la frequenza di rotazione corrente della chiave.
  • Rotazione successiva: la data della successiva rotazione della chiave pianificata. In questa data verrà creata automaticamente una nuova versione della chiave.
  • Livello di protezione: il livello di protezione della chiave, ad esempio HSM o Software.
  • EKM tramite connessione VPC: per le chiavi esterne a cui si accede tramite VPC, il nome dell'EKM tramite connessione VPC utilizzato dalla chiave. Questo campo è nascosto per impostazione predefinita ed è vuoto per le chiavi con livelli di protezione diversi da External via VPC.
  • Scopo: lo scenario in cui può essere utilizzata la chiave.
  • Etichette: etichette applicate alla chiave.

Limitazioni

  • La scheda Keyring può visualizzare al massimo 1000 risorse (inclusi keyring, chiavi e versioni delle chiavi) per località. Per visualizzare i keyring per un progetto e una località con più di 1000 risorse, utilizza l'API keyRings.list.

  • La scheda Inventario chiavi può visualizzare al massimo 20.000 risorse (inclusi keyring, chiavi e versioni delle chiavi) per progetto. Per visualizzare le chiavi per un progetto con più di 20.000 risorse, utilizza l'API keyRings.cryptoKeys.list.