Ver claves por proyecto

En esta página, se muestra cómo ver las claves y los llaveros de claves en el recurso del proyecto de Google Cloud.

Antes de comenzar

Para poder ver las claves y los llaveros de claves, completa los pasos de configuración que se describen en esta sección.

Habilitar APIs

Para ver los llaveros de claves y las claves con una API, habilita la API de Cloud KMS Inventory.

Habilitar la API

Funciones obligatorias

Pídele a tu administrador que te otorgue el rol de IAM Visualizador de Cloud KMS (roles/cloudkms.viewer) en tu proyecto a fin de obtener los permisos que necesitas para ver las claves. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso.

Este rol predefinido contiene los permisos necesarios para ver las claves. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:

Permisos necesarios

Se requieren los siguientes permisos para ver las claves:

  • cloudkms.keyRings.list
  • cloudkms.cryptoKeys.list
  • cloudkms.locations.list
  • resourcemanager.projects.get

Es posible que también puedas obtener estos permisos con funciones personalizadas o con otras funciones predefinidas.

Ver llaveros de claves

Consola

  1. En la consola de Google Cloud, ve a la página llaveros de claves.

    Ir a Llaveros de claves

  2. Opcional: Para filtrar la lista de llaveros de claves, ingresa los términos de búsqueda en el cuadro filter_list Filtrar y, luego, presiona Intro.

  3. Opcional: Para ordenar la lista según los valores de una columna, haz clic en el encabezado de la columna.

Mientras visualizas tus llaveros de claves, puedes seleccionar uno para ver los detalles de las claves asociadas y los trabajos de importación.

Ver claves

Usa la consola de Google Cloud para ver las claves creadas en el recurso de tu proyecto.

Consola

  1. En la consola de Google Cloud, ve a la página Inventario de claves.

    Ir al Inventario de claves

  2. Opcional: Para filtrar tu lista de claves, ingresa los términos de búsqueda en el cuadro Filtrar de filter_list y, luego, presiona Intro.

  3. Opcional: Para ordenar la lista según los valores de una columna, haz clic en el encabezado de la columna.

gcloud CLI

Para usar Cloud KMS en la línea de comandos, primero instala o actualiza a la versión más reciente de Google Cloud CLI.

gcloud kms inventory list-keys --project PROJECT_ID

Reemplaza PROJECT_ID por el nombre del proyecto cuya lista de claves deseas ver.

Para obtener información sobre todas las marcas y los valores posibles, ejecuta el comando con la marca --help.

API

En estos ejemplos, se usa curl como un cliente HTTP para demostrar el uso de la API. Para obtener más información sobre el control de acceso, consulta Accede a la API de Cloud KMS. 

curl "https://kmsinventory.googleapis.com/v1/projects/PROJECT_ID/cryptoKeys"
    --request "GET" \
    --header "x-goog-user-project: CALLING_PROJECT_ID"
    --header "Content-Type: application/json" \
    --header "Authorization: Bearer TOKEN"

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID del proyecto que contiene el llavero de claves.
  • CALLING_PROJECT_ID: Es el ID del proyecto desde el que llamas a la API de KMS Inventory.

Mientras ves las claves, puedes seleccionar una para ver sus detalles, incluidas sus versiones de clave asociadas.

Detalles clave

El inventario de claves proporciona información completa sobre las claves criptográficas de tu proyecto. Entre las propiedades del inventario clave, se incluyen las siguientes:

  • Nombre de la clave: Es el nombre de la clave.
  • Estado: El estado actual de la clave según el state de la versión de la clave primaria. Este campo se aplica solo a las claves simétricas.
    • Disponible: La versión de clave primaria está habilitada. La clave está disponible para encriptar y desencriptar datos.
    • No disponible: La versión de la clave primaria está inhabilitada o vacía. La clave no está disponible para usarla para encriptar datos.
    • Disponible en GCP: en el caso de las claves administradas de forma externa, la clave (no necesariamente la clave administrada de forma externa) está disponible para su uso.
  • Llavero de claves: Es el nombre del llavero de claves superior.
  • Ubicación: La ubicación donde reside el material de claves.
  • Rotación actual: La fecha y la hora en que se rotó la clave por última vez En este campo, se muestra cuándo se creó la versión actual de la clave.
  • Frecuencia de rotación: Es la frecuencia de rotación actual de la clave.
  • Siguiente rotación: Es la fecha de la siguiente rotación de claves programada. En esa fecha, se creará automáticamente una versión de clave nueva.
  • Nivel de protección: El nivel de protección de la clave, por ejemplo, HSM o Software.
  • EKM a través de una conexión de VPC: En el caso de las claves externas a las que se accede a través de VPC, el nombre del EKM a través de una conexión de VPC que usa la clave. Este campo está oculto de forma predeterminada y está en blanco para claves con niveles de protección distintos de External via VPC.
  • Propósito: Es la situación en la que se puede usar la clave.
  • Etiquetas: Son las etiquetas que se aplican a la clave.

Limitaciones

  • En la pestaña Llavero de claves, se pueden mostrar, como máximo, 1,000 recursos (incluidos llaveros de claves, claves y versiones de claves) por ubicación. Para ver los llaveros de claves de un proyecto y una ubicación con más de 1,000 recursos, usa la API de keyRings.list.

  • La pestaña Inventario de claves puede mostrar un máximo de 20,000 recursos (incluidos llaveros de claves, claves y versiones de claves) por proyecto. Para ver las claves de un proyecto con más de 20,000 recursos, usa la API de keyRings.cryptoKeys.list.