Mostrar chaves por projeto

Nesta página, mostramos como visualizar keyrings e chaves no recurso de projeto do Google Cloud.

Antes de começar

Antes de visualizar keyrings e chaves, conclua as etapas de configuração descritas nesta seção.

Ativar APIs

Para visualizar keyrings e chaves usando uma API, ative a API Cloud KMS Inventory.

Ativar a API

Funções exigidas

Para receber as permissões necessárias para visualizar as chaves, peça ao administrador para conceder a você o papel do IAM Leitor do Cloud KMS (roles/cloudkms.viewer) no projeto. Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.

Esse papel predefinido contém as permissões necessárias para acessar as chaves. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:

Permissões necessárias

As seguintes permissões são necessárias para acessar as chaves:

  • cloudkms.keyRings.list
  • cloudkms.cryptoKeys.list
  • cloudkms.locations.list
  • resourcemanager.projects.get

Também é possível receber essas permissões com papéis personalizados ou outros papéis predefinidos.

Mostrar keyrings

Console

  1. No console do Google Cloud, acesse a página keyrings.

    Acessar "Keyrings"

  2. Opcional: para filtrar a lista de keyrings, insira os termos de pesquisa na caixa filter_list Filter e pressione Enter.

  3. Opcional: para classificar a lista pelos valores em uma coluna, clique no cabeçalho da coluna.

Ao visualizar os keyrings, é possível selecioná-keyring para ver detalhes sobre as chaves associadas e os jobs de importação.

Mostrar chaves

Use o console do Google Cloud para consultar as chaves criadas no recurso do projeto.

Console

  1. No console do Google Cloud, acesse a página Inventário de chaves.

    Acessar o inventário de chaves

  2. Opcional: para filtrar a lista de chaves, insira os termos de pesquisa na caixa Filtro filter_list e pressione Enter.

  3. Opcional: para classificar a lista pelos valores em uma coluna, clique no cabeçalho da coluna.

CLI da gcloud

Para usar o Cloud KMS na linha de comando, primeiro instale ou faça upgrade para a versão mais recente da Google Cloud CLI.

gcloud kms inventory list-keys --project PROJECT_ID

Substitua PROJECT_ID pelo nome do projeto de que você quer ver a lista de chaves.

Para informações sobre todas as sinalizações e valores possíveis, execute o comando com a sinalização --help.

API

Estes exemplos usam curl como um cliente HTTP para demonstrar o uso da API. Para mais informações sobre controle de acesso, consulte Como acessar a API Cloud KMS. 

curl "https://kmsinventory.googleapis.com/v1/projects/PROJECT_ID/cryptoKeys"
    --request "GET" \
    --header "x-goog-user-project: CALLING_PROJECT_ID"
    --header "Content-Type: application/json" \
    --header "Authorization: Bearer TOKEN"

Substitua:

  • PROJECT_ID: o ID do projeto que contém o keyring.
  • CALLING_PROJECT_ID: o ID do projeto do qual você está chamando a API KMS Inventory.

Ao visualizar suas chaves, é possível selecionar uma chave para ver detalhes sobre ela, incluindo as versões associadas.

Detalhes importantes

Esse inventário fornece informações abrangentes sobre as chaves criptográficas no projeto. As propriedades no inventário de chaves incluem:

  • Nome da chave: o nome da chave.
  • Status: o status atual da chave com base no state da versão da chave primária. Este campo se aplica apenas a chaves simétricas.
    • Disponível: a versão da chave primária está ativada. A chave está disponível para uso na criptografia e descriptografia de dados.
    • Indisponível: a versão da chave primária está desativada ou vazia. A chave não está disponível para uso para criptografar dados.
    • Disponível no GCP: para chaves gerenciadas externamente, a chave (não necessariamente a própria chave gerenciada externamente) está disponível para uso.
  • Keyring: nome do keyring pai.
  • Local: local em que o material da chave está.
  • Rotação atual: a data e a hora em que a chave foi girada pela última vez. Esse campo mostra quando a versão atual da chave foi criada.
  • Frequência de rotação: a frequência de rotação atual da chave.
  • Próxima rotação: a data da próxima rotação de chaves programada. Uma nova versão da chave será criada automaticamente nessa data.
  • Nível de proteção: o nível de proteção da chave, por exemplo, HSM ou software.
  • EKM via conexão VPC: para chaves externas acessadas por VPC, o nome do EKM via conexão VPC que a chave usa. Esse campo fica oculto por padrão e fica em branco para chaves com níveis de proteção diferentes de External via VPC.
  • Finalidade: o cenário em que a chave pode ser usada.
  • Rótulos: os rótulos aplicados à chave.

Limitações

  • A guia Keyring pode exibir no máximo 1.000 recursos por local, incluindo keyrings, chaves e versões de chave. Para conferir os keyrings de um projeto e um local com mais de 1.000 recursos, use a API keyRings.list.

  • A guia Inventário de chaves pode exibir no máximo 20.000 recursos por projeto, incluindo keyrings, chaves e versões de chaves. Para conferir as chaves de um projeto com mais de 20.000 recursos, use a API keyRings.cryptoKeys.list.