Auf dieser Seite erfahren Sie, wie Sie Schlüsselbunde und Schlüssel in Google Cloud aufrufen Projektressource ein.
Hinweise
Bevor Sie Schlüsselbunde und Schlüssel aufrufen können, müssen Sie die beschriebenen Einrichtungsschritte ausführen in diesem Abschnitt.
APIs aktivieren
Aktivieren Sie Cloud KMS, um Schlüsselbunde und Schlüssel mithilfe einer API anzusehen Inventory API
Erforderliche Rollen
Um die Berechtigungen zu erhalten, die Sie zum Ansehen von Schlüsseln benötigen,
bitten Sie Ihren Administrator, Ihnen
Die IAM-Rolle Cloud KMS-Betrachter (roles/cloudkms.viewer
) für Ihr Projekt.
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.
Diese vordefinierte Rolle enthält Berechtigungen zum Ansehen von Schlüsseln. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:
Erforderliche Berechtigungen
Zum Ansehen von Schlüsseln sind die folgenden Berechtigungen erforderlich:
-
cloudkms.keyRings.list
-
cloudkms.cryptoKeys.list
-
cloudkms.locations.list
-
resourcemanager.projects.get
Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.
Schlüsselbunde ansehen
Console
Rufen Sie in der Google Cloud Console die Seite Schlüsselbunde auf.
Optional: Um die Liste der Schlüsselbunde zu filtern, geben Sie Ihre Suchbegriffe ein in das Feld Filter filter_list und und drücken Sie die Eingabetaste.
Optional: Um die Liste nach den Werten in einer Spalte zu sortieren, klicken Sie auf das Spaltenüberschrift.
In der Ansicht Ihrer Schlüsselbunde können Sie einen Schlüsselbund auswählen, um Details dazu aufzurufen die zugehörigen Schlüssel und Importjobs.
Schlüssel ansehen
Verwenden Sie die Google Cloud Console, um die in Ihrer Projektressource erstellten Schlüssel anzusehen.
Console
Rufen Sie in der Google Cloud Console die Seite Schlüsselinventar auf.
Optional: Geben Sie zum Filtern der Schlüsselliste Ihre Suchbegriffe in das Feld filter_list Filter und dann drücken Sie die Eingabetaste.
Optional: Um die Liste nach den Werten in einer Spalte zu sortieren, klicken Sie auf das Spaltenüberschrift.
gcloud-CLI
Um Cloud KMS in der Befehlszeile zu verwenden, Installieren Sie die Google Cloud CLI oder führen Sie ein Upgrade auf die neueste Version durch.
gcloud kms inventory list-keys --project PROJECT_ID
Ersetzen Sie PROJECT_ID
durch den Namen des Projekts, für das Sie
die Schlüsselliste ansehen möchten.
Wenn Sie Informationen zu allen Flags und möglichen Werten erhalten möchten, führen Sie den Befehl mit dem Flag --help
aus.
API
In diesen Beispielen wird curl als HTTP-Client verwendet, um die Verwendung der API zu demonstrieren. Weitere Informationen zur Zugriffssteuerung finden Sie unter Auf die Cloud KMS API zugreifen.
curl "https://kmsinventory.googleapis.com/v1/projects/PROJECT_ID/cryptoKeys"
--request "GET" \
--header "x-goog-user-project: CALLING_PROJECT_ID"
--header "Content-Type: application/json" \
--header "Authorization: Bearer TOKEN"
Ersetzen Sie Folgendes:
PROJECT_ID
: die ID des Projekts, das den Schlüsselbund enthält.CALLING_PROJECT_ID
: die ID des Projekts, aus dem Sie rufen die KMS Inventory API auf.
Während Sie sich Ihre Schlüssel ansehen, können Sie einen Schlüssel auswählen, um Details dazu aufzurufen. einschließlich der zugehörigen Schlüsselversionen.
Wichtige Details
Das Schlüsselinventar bietet umfassende Informationen über die kryptografischen Schlüssel in Ihrem Projekt. Zu den Properties im Schlüsselinventar gehören:
- Schlüsselname: Der Name des Schlüssels.
- Status: Der aktuelle Schlüsselstatus basierend auf dem Status des primären Schlüssels.
Schlüsselversion. Dieses Feld gilt nur für symmetrische Schlüssel.
- Verfügbar: Die Primärschlüsselversion ist aktiviert. Der Schlüssel ist verfügbar zum Verschlüsseln und Entschlüsseln von Daten.
- Nicht verfügbar: Die Primärschlüsselversion ist deaktiviert oder leer. Der Schlüssel können nicht zum Verschlüsseln von Daten verwendet werden.
- Verfügbar in Google Cloud: Bei extern verwalteten Schlüsseln ist der Schlüssel (nicht z. B. der extern verwaltete Schlüssel selbst), steht zur Verfügung.
- Schlüsselbund: Name des übergeordneten Schlüsselbunds.
- Speicherort: Standort, an dem sich das Schlüsselmaterial befindet.
- Aktuelle Rotation: Datum und Uhrzeit der letzten Rotation des Schlüssels. Dieses Feld zeigt an, wann die aktuelle Schlüsselversion erstellt wurde.
- Rotationshäufigkeit: Die aktuelle Rotationshäufigkeit des Schlüssels.
- Nächste Rotation: Das Datum für die nächste geplante Schlüsselrotation. Neuer Schlüssel Version wird an diesem Datum automatisch erstellt.
- Schutzniveau: Das Schutzniveau des Schlüssels, z. B. HSM oder Software.
- EKM-über-VPC-Verbindung: Bei externen Schlüsseln, auf die über die VPC zugegriffen wird, ändert sich der Name des
Die vom Schlüssel verwendete EKM-über-VPC-Verbindung. Dieses Feld wird ausgeblendet durch
Standardeinstellung und ist bei Schlüsseln mit anderen Schutzniveaus als
External via VPC
leer. - Zweck: Das Szenario, in dem der Schlüssel verwendet werden kann.
- Labels: Auf den Schlüssel angewendete Labels.
Beschränkungen
Auf dem Tab Schlüsselbund können maximal 1.000 Ressourcen angezeigt werden,einschließlich Schlüssel Ringe, Schlüssel und Schlüsselversionen) pro Standort. Um Schlüsselbunde für ein mit mehr als 1.000 Ressourcen erstellt haben, verwenden Sie keyRings.list API.
Auf dem Tab Schlüsselinventar können maximal 20.000 Ressourcen angezeigt werden,einschließlich Schlüsselbunde, Schlüssel und Schlüsselversionen) pro Projekt. Schlüssel für ein Projekt aufrufen mit mehr als 20.000 Ressourcen sollten Sie die keyRings.cryptoKeys.list API verwenden.