Afficher les clés par projet

Cette page vous explique comment afficher des trousseaux de clés et des clés dans votre Google Cloud ressource de projet.

Avant de commencer

Avant d'afficher les trousseaux et les clés, suivez la procédure de configuration décrite dans cette section.

Activer les API

Pour afficher les trousseaux et les clés à l'aide d'une API, activez l'API Cloud KMS Inventory.

Activer l'API

Rôles requis

Pour obtenir les autorisations nécessaires pour afficher les clés, demandez à votre administrateur de vous accorder le rôle IAM Lecteur Cloud KMS (roles/cloudkms.viewer) sur votre projet. Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Ce rôle prédéfini contient les autorisations requises pour afficher les clés. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :

Autorisations requises

Les autorisations suivantes sont requises pour afficher les clés :

  • cloudkms.keyRings.list
  • cloudkms.cryptoKeys.list
  • cloudkms.locations.list
  • resourcemanager.projects.get

Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

Afficher les trousseaux de clés

Console

  1. Dans la console Google Cloud, accédez à la page Key Rings (Répertoires de clés).

    Accéder à "Trousseaux de clés"

  2. Facultatif : Pour filtrer votre liste de trousseaux, saisissez vos termes de recherche dans le champ Filtre filter_list, puis appuyez sur Entrée.

  3. Facultatif : Pour trier la liste en fonction des valeurs d'une colonne, cliquez sur l'en-tête de la colonne.

Lorsque vous affichez vos trousseaux, vous pouvez en sélectionner un pour afficher des informations les clés et jobs d'importation associés.

Afficher les clés

Utilisez la console Google Cloud pour afficher les clés créées dans votre ressource de projet.

Console

  1. Dans la console Google Cloud, accédez à la page Inventaire des clés.

    Accéder à l'inventaire des clés

  2. Facultatif: Pour filtrer votre liste de clés, saisissez vos termes de recherche dans le Filtrer filter_list, puis appuyez sur Entrée.

  3. Facultatif: Pour trier la liste en fonction des valeurs d'une colonne, cliquez sur l'icône l'en-tête de colonne.

CLI gcloud

Pour utiliser Cloud KMS sur la ligne de commande, commencez par Installez la dernière version de Google Cloud CLI.

gcloud kms inventory list-keys --project PROJECT_ID

Remplacez PROJECT_ID par le nom du projet pour lequel souhaitez afficher la liste des clés.

Pour en savoir plus sur toutes les options et valeurs possibles, exécutez la commande avec l'option --help.

API

Ces exemples utilisent curl comme client HTTP pour démontrer l'utilisation de l'API. Pour en savoir plus sur le contrôle des accès, consultez la page Accéder à l'API Cloud KMS. 

curl "https://kmsinventory.googleapis.com/v1/projects/PROJECT_ID/cryptoKeys"
    --request "GET" \
    --header "x-goog-user-project: CALLING_PROJECT_ID"
    --header "Content-Type: application/json" \
    --header "Authorization: Bearer TOKEN"

Remplacez les éléments suivants :

  • PROJECT_ID: ID du projet contenant le trousseau de clés.
  • CALLING_PROJECT_ID : ID du projet à partir duquel vous appelez l'API Inventory KMS.

Lorsque vous affichez vos clés, vous pouvez sélectionner une clé pour en afficher les détails. y compris les versions de clé associées.

Informations essentielles

L'inventaire des clés fournit des informations complètes sur les clés cryptographiques de votre projet. Les propriétés de l'inventaire des clés incluent les éléments suivants :

  • Nom de la clé: nom de la clé.
  • État: état actuel de la clé en fonction de l'état de l'instance principale version de clé. Ce champ ne s'applique qu'aux clés symétriques.
    • Disponible: la version de clé primaire est activée. La clé est disponible pour chiffrer et déchiffrer des données.
    • Non disponible : la version de la clé principale est désactivée ou vide. La clé ne peut pas être utilisée pour chiffrer des données.
    • Disponible dans GCP: pour les clés gérées en externe, la clé (et non pas (nécessairement la clé gérée en externe elle-même) est disponible.
  • Trousseau de clés: nom du trousseau de clés parent.
  • Emplacement : emplacement où réside le matériel de clé.
  • Rotation actuelle : date et heure de la rotation la plus récente de la clé. Ce champ indique la date à laquelle la version de clé actuelle a été créée.
  • Fréquence de rotation: fréquence de rotation actuelle de la clé.
  • Prochaine rotation : date de la prochaine rotation de clé programmée Une nouvelle version de clé sera automatiquement créée à cette date.
  • Niveau de protection: le niveau de protection de la clé (HSM, par exemple). ou Logiciel.
  • EKM via une connexion VPC: pour les clés externes accessibles via le VPC, le nom l'EKM via une connexion VPC utilisé par la clé. Ce champ est masqué par par défaut et est vide pour les clés dont les niveaux de protection sont autres que External via VPC.
  • Objectif : scénario dans lequel la clé peut être utilisée
  • Libellés : libellés appliqués à la clé.

Limites

  • L'onglet Trousseau de clés peut afficher 1 000 ressources au maximum (y compris les clés anneaux, clés et versions de clé) par emplacement. Pour afficher les trousseaux de clés un projet et un emplacement comportant plus de 1 000 ressources, utilisez le API keyRings.list

  • L'onglet Inventaire des clés peut afficher au maximum 20 000 ressources (y compris les trousseaux de clés, les clés et les versions de clé) par projet. Pour afficher les clés d'un projet comportant plus de 20 000 ressources, utilisez l'API keyRings.cryptoKeys.list.