本頁說明如何查看 Google Cloud 專案資源中的金鑰環和金鑰。
事前準備
如要查看金鑰環和金鑰,請先完成本節所述的設定步驟。
啟用 API
如要透過 API 查看金鑰環和金鑰,請啟用 Cloud KMS 目錄 API。
必要的角色
如要取得查看金鑰所需的權限,請要求管理員授予專案的「Cloud KMS 檢視者」 (roles/cloudkms.viewer) 身分與存取權管理角色。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。
這個預先定義的角色具備查看金鑰所需的權限。如要查看確切的必要權限,請展開「必要權限」部分:
所需權限
如要查看金鑰,必須具備下列權限:
-
cloudkms.keyRings.list -
cloudkms.cryptoKeys.list -
cloudkms.locations.list -
resourcemanager.projects.get
查看金鑰環
控制台
前往 Google Cloud 控制台的「Key Rings」(金鑰環) 頁面。
選用:如要篩選鑰匙圈清單,請在「篩選」方塊中輸入搜尋字詞 filter_list,然後按下 Enter 鍵。
選用:如要依資料欄中的值排序清單,請按一下資料欄標題。
查看金鑰環時,您可以選取金鑰環,查看相關聯金鑰和匯入工作的詳細資料。
查看金鑰
您可以使用 Google Cloud 控制台,查看在專案資源中建立的金鑰。
控制台
前往 Google Cloud 控制台的「Key Inventory」頁面。
選用:如要篩選金鑰清單,請在「filter_list」filter_list篩選器方塊中輸入搜尋字詞,然後按下 Enter 鍵。
選用:如要依資料欄中的值排序清單,請按一下資料欄標題。
gcloud CLI
如要在指令列上使用 Cloud KMS,請先安裝或升級至最新版 Google Cloud CLI。
gcloud kms inventory list-keys --project PROJECT_ID
將 PROJECT_ID 替換為要查看金鑰清單的專案名稱。
如要瞭解所有旗標和可能的值,請使用 --help 旗標執行指令。
API
這些範例使用 curl 做為 HTTP 用戶端,示範如何使用 API。如要進一步瞭解存取權控管,請參閱「存取 Cloud KMS API」一文。
curl "https://kmsinventory.googleapis.com/v1/projects/PROJECT_ID/cryptoKeys"
--request "GET" \
--header "x-goog-user-project: CALLING_PROJECT_ID"
--header "Content-Type: application/json" \
--header "Authorization: Bearer TOKEN"更改下列內容:
PROJECT_ID:包含金鑰環的專案 ID。CALLING_PROJECT_ID:您用來呼叫 KMS Inventory API 的專案 ID。
查看金鑰時,您可以選取金鑰來查看詳細資料,包括相關聯的金鑰版本。
金鑰詳細資料
金鑰清單會提供專案中加密金鑰的完整資訊。主要房源的屬性包括:
- 金鑰名稱:金鑰名稱。
- 狀態:主要金鑰版本的狀態。這個欄位僅適用於對稱金鑰。
- 可用:主要金鑰版本已啟用。金鑰可用於加密及解密資料。
- 無法使用:主要金鑰版本已停用或空白。金鑰無法用於加密資料。
- GCP 中可用:對於外部代管金鑰,金鑰 (不一定是外部代管金鑰本身) 可供使用。
- 金鑰環:父項金鑰環的名稱。
- 位置:金鑰材料所在位置。
- 目前輪替:上次輪替金鑰的日期和時間。這個欄位會顯示目前金鑰版本的建立時間。
- 輪替頻率:金鑰目前的輪替頻率。
- 下次輪替:下次排定金鑰輪替的日期。系統會在當天自動建立新的金鑰版本。
- 防護等級:金鑰的防護等級,例如 HSM 或軟體。
- 透過虛擬私有雲連至 EKM 的連線:如要透過虛擬私有雲存取外部金鑰,請輸入金鑰使用的透過虛擬私有雲連至 EKM 的連線名稱。這個欄位預設為隱藏,如果金鑰的保護等級不是
External via VPC,這個欄位就會留空。 - 用途:金鑰的使用情境。
- 標籤:套用至金鑰的標籤。
限制
「金鑰環」分頁最多可顯示每個位置的 1,000 個資源 (包括金鑰環、金鑰和金鑰版本)。如要查看超過 1,000 項資源的專案和位置金鑰環,請使用 keyRings.list API。
每個專案的「金鑰清單」分頁最多可顯示 20,000 項資源 (包括金鑰環、金鑰和金鑰版本)。如要查看資源超過 20,000 個的專案金鑰,請使用 keyRings.cryptoKeys.list API。