Schlüssel nach Projekt ansehen

Auf dieser Seite wird beschrieben, wie Sie Schlüsselbunde und Schlüssel in Ihrer Google Cloud-Projektressource aufrufen.

Hinweise

Bevor Sie Schlüsselbunde und Schlüssel aufrufen können, müssen Sie die in diesem Abschnitt beschriebenen Einrichtungsschritte ausführen.

APIs aktivieren

Aktivieren Sie die Cloud KMS Inventory API, um Schlüsselbunde und Schlüssel mithilfe einer API anzusehen.

API aktivieren

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Cloud KMS Viewer (roles/cloudkms.viewer) für Ihr Projekt zu gewähren, damit Sie die erforderlichen Berechtigungen zum Ansehen von Schlüsseln erhalten. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Diese vordefinierte Rolle enthält die Berechtigungen, die zum Ansehen von Schlüsseln erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Zum Ansehen von Schlüsseln sind die folgenden Berechtigungen erforderlich:

  • cloudkms.keyRings.list
  • cloudkms.cryptoKeys.list
  • cloudkms.locations.list
  • resourcemanager.projects.get

Möglicherweise können Sie diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Schlüsselbunde ansehen

Console

  1. Rufen Sie in der Google Cloud Console die Seite Schlüsselbunde auf.

    Zu „Schlüsselbunde“

  2. Optional: Um die Liste der Schlüsselbunde zu filtern, geben Sie die Suchbegriffe in das Feld Filter filter_list ein und drücken Sie die Eingabetaste.

  3. Optional: Klicken Sie auf die Spaltenüberschrift, um die Liste nach den Werten in einer Spalte zu sortieren.

Während Sie Ihre Schlüsselbunde aufrufen, können Sie einen Schlüsselbund auswählen, um Details zu den zugehörigen Schlüsseln und Importjobs anzusehen.

Schlüssel ansehen

Verwenden Sie die Google Cloud Console, um die in Ihrer Projektressource erstellten Schlüssel anzusehen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Schlüsselinventar auf.

    Zum Schlüsselinventar

  2. Optional: Um die Liste der Schlüssel zu filtern, geben Sie die Suchbegriffe in das Feld Filter filter_list ein und drücken Sie die Eingabetaste.

  3. Optional: Klicken Sie auf die Spaltenüberschrift, um die Liste nach den Werten in einer Spalte zu sortieren.

gcloud-CLI

Wenn Sie Cloud KMS in der Befehlszeile verwenden möchten, müssen Sie zuerst ein Upgrade auf die neueste Version der Google Cloud CLI durchführen oder ein Upgrade auf die neueste Version der Google Cloud CLI ausführen.

gcloud kms inventory list-keys --project PROJECT_ID

Ersetzen Sie PROJECT_ID durch den Namen des Projekts, für das Sie die Liste der Schlüssel aufrufen möchten.

Wenn Sie Informationen zu allen Flags und möglichen Werten erhalten möchten, führen Sie den Befehl mit dem Flag --help aus.

API

In diesen Beispielen wird curl als HTTP-Client verwendet, um die Verwendung der API zu demonstrieren. Weitere Informationen zur Zugriffssteuerung finden Sie unter Auf die Cloud KMS API zugreifen.

curl "https://kmsinventory.googleapis.com/v1/projects/PROJECT_ID/cryptoKeys"
    --request "GET" \
    --header "x-goog-user-project: CALLING_PROJECT_ID"
    --header "Content-Type: application/json" \
    --header "Authorization: Bearer TOKEN"

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Projekts, das den Schlüsselbund enthält.
  • CALLING_PROJECT_ID: die ID des Projekts, von dem aus Sie die KMS Inventory API aufrufen.

Während Sie sich Ihre Schlüssel ansehen, können Sie einen Schlüssel auswählen, um Details zu dem Schlüssel, einschließlich der zugehörigen Schlüsselversionen, anzeigen zu lassen.

Schlüsseldetails

Das Schlüsselinventar bietet umfassende Informationen zu den kryptografischen Schlüsseln in Ihrem Projekt. Zu den Properties im Schlüsselinventar gehören:

  • Schlüsselname: Der Name des Schlüssels.
  • Status: Der aktuelle Schlüsselstatus basierend auf dem state der Primärschlüsselversion. Dieses Feld gilt nur für symmetrische Schlüssel.
    • Verfügbar: Die Primärschlüsselversion ist aktiviert. Mit dem Schlüssel können Daten ver- und entschlüsselt werden.
    • Nicht verfügbar: Die Primärschlüsselversion ist deaktiviert oder leer. Der Schlüssel kann nicht zum Verschlüsseln von Daten verwendet werden.
    • Auf der GCP verfügbar: Für extern verwaltete Schlüssel kann der Schlüssel (nicht unbedingt der extern verwaltete Schlüssel selbst) verwendet werden.
  • Schlüsselbund: Name des übergeordneten Schlüsselbunds.
  • Speicherort: Standort, an dem sich das Schlüsselmaterial befindet.
  • Aktuelle Rotation: Datum und Uhrzeit der letzten Rotation des Schlüssels. In diesem Feld wird angezeigt, wann die aktuelle Schlüsselversion erstellt wurde.
  • Rotationshäufigkeit: Die aktuelle Rotationshäufigkeit des Schlüssels.
  • Nächste Rotation: Das Datum für die nächste geplante Schlüsselrotation. An diesem Datum wird automatisch eine neue Schlüsselversion erstellt.
  • Schutzniveau: Das Schutzniveau des Schlüssels, z. B. HSM oder Software.
  • EKM-über-VPC-Verbindung: Bei externen Schlüsseln, auf die über eine VPC zugegriffen wird, der Name der EKM-über-VPC-Verbindung, die der Schlüssel verwendet. Dieses Feld ist standardmäßig ausgeblendet und bei Schlüsseln mit anderen Schutzniveaus als External via VPC leer.
  • Zweck: Das Szenario, in dem der Schlüssel verwendet werden kann.
  • Labels: Auf den Schlüssel angewendete Labels.

Beschränkungen

  • Auf dem Tab Schlüsselbund können maximal 1.000 Ressourcen (einschließlich Schlüsselbunde, Schlüssel und Schlüsselversionen) pro Speicherort angezeigt werden. Mit der keyRings.list API können Sie die Schlüsselbunde für ein Projekt und einen Standort mit mehr als 1.000 Ressourcen ansehen.

  • Auf dem Tab Schlüsselinventar können maximal 20.000 Ressourcen (einschließlich Schlüsselbunde, Schlüssel und Schlüsselversionen) pro Projekt angezeigt werden. Schlüssel für ein Projekt mit mehr als 20.000 Ressourcen können Sie mit der keyRings.cryptoKeys.list API aufrufen.