Schlüssel nach Projekt ansehen

Auf dieser Seite erfahren Sie, wie Sie Schlüsselbunde und Schlüssel in Google Cloud aufrufen Projektressource ein.

Hinweise

Bevor Sie Schlüsselbunde und Schlüssel aufrufen können, müssen Sie die beschriebenen Einrichtungsschritte ausführen in diesem Abschnitt.

APIs aktivieren

Aktivieren Sie Cloud KMS, um Schlüsselbunde und Schlüssel mithilfe einer API anzusehen Inventory API

API aktivieren

Erforderliche Rollen

Um die Berechtigungen zu erhalten, die Sie zum Ansehen von Schlüsseln benötigen, bitten Sie Ihren Administrator, Ihnen Die IAM-Rolle Cloud KMS-Betrachter (roles/cloudkms.viewer) für Ihr Projekt. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Diese vordefinierte Rolle enthält Berechtigungen zum Ansehen von Schlüsseln. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Zum Ansehen von Schlüsseln sind die folgenden Berechtigungen erforderlich:

  • cloudkms.keyRings.list
  • cloudkms.cryptoKeys.list
  • cloudkms.locations.list
  • resourcemanager.projects.get

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Schlüsselbunde ansehen

Console

  1. Rufen Sie in der Google Cloud Console die Seite Schlüsselbunde auf.

    Zu „Schlüsselbunde“

  2. Optional: Um die Liste der Schlüsselbunde zu filtern, geben Sie Ihre Suchbegriffe ein in das Feld Filter filter_list und und drücken Sie die Eingabetaste.

  3. Optional: Um die Liste nach den Werten in einer Spalte zu sortieren, klicken Sie auf das Spaltenüberschrift.

In der Ansicht Ihrer Schlüsselbunde können Sie einen Schlüsselbund auswählen, um Details dazu aufzurufen die zugehörigen Schlüssel und Importjobs.

Schlüssel ansehen

Verwenden Sie die Google Cloud Console, um die in Ihrer Projektressource erstellten Schlüssel anzusehen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Schlüsselinventar auf.

    Zum Schlüsselinventar

  2. Optional: Geben Sie zum Filtern der Schlüsselliste Ihre Suchbegriffe in das Feld filter_list Filter und dann drücken Sie die Eingabetaste.

  3. Optional: Um die Liste nach den Werten in einer Spalte zu sortieren, klicken Sie auf das Spaltenüberschrift.

gcloud-CLI

Um Cloud KMS in der Befehlszeile zu verwenden, Installieren Sie die Google Cloud CLI oder führen Sie ein Upgrade auf die neueste Version durch.

gcloud kms inventory list-keys --project PROJECT_ID

Ersetzen Sie PROJECT_ID durch den Namen des Projekts, für das Sie die Schlüsselliste ansehen möchten.

Wenn Sie Informationen zu allen Flags und möglichen Werten erhalten möchten, führen Sie den Befehl mit dem Flag --help aus.

API

In diesen Beispielen wird curl als HTTP-Client verwendet, um die Verwendung der API zu demonstrieren. Weitere Informationen zur Zugriffssteuerung finden Sie unter Auf die Cloud KMS API zugreifen. 

curl "https://kmsinventory.googleapis.com/v1/projects/PROJECT_ID/cryptoKeys"
    --request "GET" \
    --header "x-goog-user-project: CALLING_PROJECT_ID"
    --header "Content-Type: application/json" \
    --header "Authorization: Bearer TOKEN"

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Projekts, das den Schlüsselbund enthält.
  • CALLING_PROJECT_ID: die ID des Projekts, aus dem Sie rufen die KMS Inventory API auf.

Während Sie sich Ihre Schlüssel ansehen, können Sie einen Schlüssel auswählen, um Details dazu aufzurufen. einschließlich der zugehörigen Schlüsselversionen.

Wichtige Details

Das Schlüsselinventar bietet umfassende Informationen über die kryptografischen Schlüssel in Ihrem Projekt. Zu den Properties im Schlüsselinventar gehören:

  • Schlüsselname: Der Name des Schlüssels.
  • Status: Der aktuelle Schlüsselstatus basierend auf dem Status des primären Schlüssels. Schlüsselversion. Dieses Feld gilt nur für symmetrische Schlüssel.
    • Verfügbar: Die Primärschlüsselversion ist aktiviert. Der Schlüssel ist verfügbar zum Verschlüsseln und Entschlüsseln von Daten.
    • Nicht verfügbar: Die Primärschlüsselversion ist deaktiviert oder leer. Der Schlüssel können nicht zum Verschlüsseln von Daten verwendet werden.
    • Verfügbar in Google Cloud: Bei extern verwalteten Schlüsseln ist der Schlüssel (nicht z. B. der extern verwaltete Schlüssel selbst), steht zur Verfügung.
  • Schlüsselbund: Name des übergeordneten Schlüsselbunds.
  • Speicherort: Standort, an dem sich das Schlüsselmaterial befindet.
  • Aktuelle Rotation: Datum und Uhrzeit der letzten Rotation des Schlüssels. Dieses Feld zeigt an, wann die aktuelle Schlüsselversion erstellt wurde.
  • Rotationshäufigkeit: Die aktuelle Rotationshäufigkeit des Schlüssels.
  • Nächste Rotation: Das Datum für die nächste geplante Schlüsselrotation. Neuer Schlüssel Version wird an diesem Datum automatisch erstellt.
  • Schutzniveau: Das Schutzniveau des Schlüssels, z. B. HSM oder Software.
  • EKM-über-VPC-Verbindung: Bei externen Schlüsseln, auf die über die VPC zugegriffen wird, ändert sich der Name des Die vom Schlüssel verwendete EKM-über-VPC-Verbindung. Dieses Feld wird ausgeblendet durch Standardeinstellung und ist bei Schlüsseln mit anderen Schutzniveaus als External via VPC leer.
  • Zweck: Das Szenario, in dem der Schlüssel verwendet werden kann.
  • Labels: Auf den Schlüssel angewendete Labels.

Beschränkungen

  • Auf dem Tab Schlüsselbund können maximal 1.000 Ressourcen angezeigt werden,einschließlich Schlüssel Ringe, Schlüssel und Schlüsselversionen) pro Standort. Um Schlüsselbunde für ein mit mehr als 1.000 Ressourcen erstellt haben, verwenden Sie keyRings.list API.

  • Auf dem Tab Schlüsselinventar können maximal 20.000 Ressourcen angezeigt werden,einschließlich Schlüsselbunde, Schlüssel und Schlüsselversionen) pro Projekt. Schlüssel für ein Projekt aufrufen mit mehr als 20.000 Ressourcen sollten Sie die keyRings.cryptoKeys.list API verwenden.