Visualizzare le chiavi per progetto

Questa pagina mostra come visualizzare i keyring e le chiavi nella Google Cloud risorsa progetto.

Prima di iniziare

Prima di poter visualizzare i portachiavi e le chiavi, completa i passaggi di configurazione descritti in questa sezione.

Abilita API

Per visualizzare i portachiavi e le chiavi utilizzando un'API, abilita l'API Cloud KMS Inventory.

Abilitare l'API

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per visualizzare le chiavi, chiedi all'amministratore di concederti il ruolo IAM Visualizzatore Cloud KMS (roles/cloudkms.viewer) nel progetto. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Questo ruolo predefinito contiene le autorizzazioni necessarie per visualizzare le chiavi. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:

Autorizzazioni obbligatorie

Per visualizzare le chiavi sono necessarie le seguenti autorizzazioni:

  • cloudkms.keyRings.list
  • cloudkms.cryptoKeys.list
  • cloudkms.locations.list
  • resourcemanager.projects.get

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Visualizzare i keyring

Console

  1. Nella console Google Cloud , vai alla pagina Portachiavi.

    Vai a Portachiavi

  2. (Facoltativo) Per filtrare l'elenco dei portachiavi, inserisci i termini di ricerca nella casella filter_list Filtro e premi Invio.

  3. (Facoltativo) Per ordinare l'elenco in base ai valori di una colonna, fai clic sull'intestazione della colonna.

Quando visualizzi i keyring, puoi selezionarne uno per visualizzare i dettagli delle chiavi associate e dei job di importazione.

Visualizza chiavi

Utilizza la console Google Cloud per visualizzare le chiavi create nella risorsa del progetto.

Console

  1. Nella console Google Cloud , vai alla pagina Inventario chiavi.

    Vai all'inventario delle chiavi

  2. (Facoltativo) Per filtrare l'elenco delle chiavi, inserisci i termini di ricerca nella casella filter_list Filtro e poi premi Invio.

  3. (Facoltativo) Per ordinare l'elenco in base ai valori di una colonna, fai clic sull'intestazione della colonna.

Interfaccia a riga di comando gcloud

Per utilizzare Cloud KMS dalla riga di comando, devi prima installare o eseguire l'upgrade all'ultima versione di Google Cloud CLI.

gcloud kms inventory list-keys --project PROJECT_ID

Sostituisci PROJECT_ID con il nome del progetto per il quale vuoi visualizzare l'elenco delle chiavi.

Per informazioni su tutti i flag e i valori possibili, esegui il comando con il flag --help.

API

Questi esempi utilizzano curl come client HTTP per dimostrare l'utilizzo dell'API. Per saperne di più sul controllo dell'accesso, consulta Accesso all'API Cloud KMS. 

curl "https://kmsinventory.googleapis.com/v1/projects/PROJECT_ID/cryptoKeys"
    --request "GET" \
    --header "x-goog-user-project: CALLING_PROJECT_ID"
    --header "Content-Type: application/json" \
    --header "Authorization: Bearer TOKEN"

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto che contiene il portachiavi.
  • CALLING_PROJECT_ID: l'ID del progetto da cui chiami l'API KMS Inventory.

Quando visualizzi le chiavi, puoi selezionarne una per visualizzarne i dettagli, incluse le versioni della chiave associate.

Dettagli chiave

L'inventario delle chiavi fornisce informazioni complete sulle chiavi crittografiche nel tuo progetto. Le proprietà nell'inventario delle chiavi includono quanto segue:

  • Nome chiave: il nome della chiave.
  • Stato: lo stato attuale della chiave in base allo stato della versione della chiave primaria. Questo campo si applica solo alle chiavi simmetriche.
    • Disponibile: la versione della chiave primaria è attiva. La chiave è disponibile per essere utilizzata per criptare e decriptare i dati.
    • Non disponibile: la versione della chiave primaria è disattivata o vuota. La chiave non è disponibile per criptare i dati.
    • Disponibile in Google Cloud: per le chiavi gestite esternamente, la chiave (non necessariamente la chiave gestita esternamente stessa) è disponibile per l'uso.
  • Key ring: nome del keyring principale.
  • Posizione: la posizione in cui si trova il materiale della chiave.
  • Rotazione attuale: la data e l'ora dell'ultima rotazione della chiave. Questo campo mostra la data di creazione della versione attuale della chiave.
  • Frequenza di rotazione: la frequenza di rotazione corrente della chiave.
  • Prossima rotazione: la data della prossima rotazione pianificata della chiave. In questa data verrà creata automaticamente una nuova versione della chiave.
  • Livello di protezione: il livello di protezione della chiave, ad esempio HSM o Software.
  • Connessione EKM tramite VPC: per le chiavi esterne a cui si accede tramite VPC, il nome della connessione EKM tramite VPC utilizzata dalla chiave. Questo campo è nascosto per impostazione predefinita ed è vuoto per le chiavi con livelli di protezione diversi da External via VPC.
  • Scopo: lo scenario in cui può essere utilizzata la chiave.
  • Etichette: le etichette applicate alla chiave.

Limitazioni

  • La scheda Portachiavi può visualizzare al massimo 1000 risorse (inclusi portachiavi, chiavi e versioni delle chiavi) per posizione. Per visualizzare i portachiavi per un progetto e una località con più di 1000 risorse, utilizza l'API keyRings.list.

  • La scheda Inventario chiavi può mostrare al massimo 20.000 risorse (inclusi keyring, chiavi e versioni delle chiavi) per progetto. Per visualizzare le chiavi per un progetto con più di 20.000 risorse, utilizza l'API keyRings.cryptoKeys.list.