Pour obtenir les autorisations nécessaires pour afficher les clés, demandez à votre administrateur de vous accorder le rôle IAM Lecteur Cloud KMS (roles/cloudkms.viewer) sur votre projet.
Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.
Ce rôle prédéfini contient les autorisations requises pour afficher les clés. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :
Autorisations requises
Les autorisations suivantes sont requises pour afficher les clés :
Facultatif : Pour filtrer votre liste de trousseaux de clés, saisissez vos termes de recherche dans la zone Filtrerfilter_list, puis appuyez sur Entrée.
Facultatif : Pour trier la liste par les valeurs d'une colonne, cliquez sur l'en-tête de la colonne.
Lorsque vous consultez vos trousseaux de clés, vous pouvez en sélectionner un pour afficher des informations sur les clés et les tâches d'importation associées.
Afficher les clés
Utilisez la console Google Cloud pour afficher les clés créées dans la ressource de votre projet.
Console
Dans la console Google Cloud , accédez à la page Inventaire des clés.
Remplacez PROJECT_ID par le nom du projet pour lequel vous souhaitez afficher la liste des clés.
Pour en savoir plus sur toutes les options et valeurs possibles, exécutez la commande avec l'option --help.
API
Ces exemples utilisent curl comme client HTTP pour démontrer l'utilisation de l'API. Pour en savoir plus sur le contrôle des accès, consultez la page Accéder à l'API Cloud KMS.
PROJECT_ID : ID du projet contenant le trousseau de clés.
CALLING_PROJECT_ID : ID du projet à partir duquel vous appelez l'API KMS Inventory.
Lorsque vous affichez vos clés, vous pouvez en sélectionner une pour afficher des informations la concernant, y compris ses versions associées.
Informations essentielles
L'inventaire des clés fournit des informations complètes sur les clés cryptographiques de votre projet. Les propriétés de l'inventaire de clés incluent les éléments suivants :
Nom de la clé : nom de la clé.
État : état actuel de la clé en fonction de l'état de la version de clé primaire. Ce champ ne s'applique qu'aux clés symétriques.
Disponible : la version de clé principale est activée. La clé est disponible pour chiffrer et déchiffrer des données.
Non disponible : la version de clé principale est désactivée ou vide. La clé n'est pas disponible pour chiffrer les données.
Disponible dans GCP : pour les clés gérées en externe, la clé (pas nécessairement la clé gérée en externe elle-même) est disponible.
Trousseau de clés : nom du trousseau de clés parent.
Emplacement : emplacement où réside le matériel de clé.
Rotation actuelle : date et heure de la dernière rotation de la clé. Ce champ indique la date de création de la version de clé actuelle.
Fréquence de rotation : fréquence de rotation actuelle de la clé.
Prochaine rotation : date de la prochaine rotation de clé programmée Une nouvelle version de clé sera créée automatiquement à cette date.
Niveau de protection : niveau de protection de la clé (par exemple, HSM ou Logiciel).
EKM via une connexion VPC : pour les clés externes accessibles via un VPC, il s'agit du nom de la connexion EKM via un VPC utilisée par la clé. Ce champ est masqué par défaut et est vide pour les clés dont le niveau de protection est différent de External
via VPC.
Objectif : scénario dans lequel la clé peut être utilisée
Libellés : libellés appliqués à la clé.
Limites
L'onglet Trousseau de clés peut afficher au maximum 1 000 ressources (y compris les trousseaux de clés, les clés et les versions de clé) par emplacement. Pour afficher les trousseaux de clés d'un projet et d'un emplacement comportant plus de 1 000 ressources, utilisez l'API keyRings.list.
L'onglet Inventaire des clés peut afficher au maximum 20 000 ressources (y compris les trousseaux de clés, les clés et les versions de clé) par projet. Pour afficher les clés d'un projet comportant plus de 20 000 ressources, utilisez l'API keyRings.cryptoKeys.list.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/09/05 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/09/05 (UTC)."],[],[],null,["# View keys by project\n\nThis page shows you how to view key rings and keys in your Google Cloud\n[project resource](/resource-manager/docs/cloud-platform-resource-hierarchy#projects).\n\nBefore you begin\n----------------\n\nBefore you can view key rings and keys, complete the setup steps described\nin this section.\n\n### Enable APIs\n\nTo view key rings and keys using an API, enable the Cloud KMS\nInventory API.\n\n[Enable the API](https://console.cloud.google.com/flows/enableapi?apiid=kmsinventory.googleapis.com)\n\n\u003cbr /\u003e\n\n### Required roles\n\n\nTo get the permissions that\nyou need to view keys,\n\nask your administrator to grant you the\n\n\n[Cloud KMS Viewer](/iam/docs/roles-permissions/cloudkms#cloudkms.viewer) (`roles/cloudkms.viewer`)\nIAM role on your project.\n\n\nFor more information about granting roles, see [Manage access to projects, folders, and organizations](/iam/docs/granting-changing-revoking-access).\n\n\nThis predefined role contains\n\nthe permissions required to view keys. To see the exact permissions that are\nrequired, expand the **Required permissions** section:\n\n\n#### Required permissions\n\nThe following permissions are required to view keys:\n\n- ` ``cloudkms.keyRings.list`` `\n- ` ``cloudkms.cryptoKeys.list`` `\n- ` ``cloudkms.locations.list`` `\n- ` ``resourcemanager.projects.get`\n\n\nYou might also be able to get\nthese permissions\nwith [custom roles](/iam/docs/creating-custom-roles) or\nother [predefined roles](/iam/docs/roles-overview#predefined).\n\nView key rings\n--------------\n\n### Console\n\n1. In the Google Cloud console, go to the **Key Rings** page.\n\n [Go to Key Rings](https://console.cloud.google.com/security/kms/keyrings)\n2. Optional: To filter your list of key rings, enter your search terms in\n the filter_list **Filter** box and\n then press Enter.\n\n3. Optional: To sort the list by the values in a column, click the\n column heading.\n\nWhile viewing your key rings, you can select a key ring to view details about\nthe associated keys and import jobs.\n\nView keys\n---------\n\nUse the Google Cloud console to view the keys created in your project resource. \n\n### Console\n\n1. In the Google Cloud console, go to the **Key Inventory** page.\n\n [Go to Key Inventory](https://console.cloud.google.com/security/kms/keys)\n2. Optional: To filter your list of keys, enter your search terms in the\n filter_list **Filter** box and then\n press Enter.\n\n3. Optional: To sort the list by the values in a column, click the\n column heading.\n\n### gcloud CLI\n\n\nTo use Cloud KMS on the command line, first\n[Install or upgrade to the latest version of Google Cloud CLI](/sdk/install).\n\n\u003cbr /\u003e\n\n```\ngcloud kms inventory list-keys --project PROJECT_ID\n```\n\nReplace \u003cvar translate=\"no\"\u003ePROJECT_ID\u003c/var\u003e with the name of the project for which you\nwant to view the list of keys.\n\nFor information on all flags and possible values, run the command with the\n`--help` flag.\n\n### API\n\n\nThese examples use [curl](https://curl.haxx.se/) as an HTTP client\nto demonstrate using the API. For more information about access control, see\n[Accessing the Cloud KMS API](/kms/docs/accessing-the-api).\n\n\u003cbr /\u003e\n\n curl \"https://kmsinventory.googleapis.com/v1/projects/\u003cvar translate=\"no\"\u003ePROJECT_ID\u003c/var\u003e/cryptoKeys\"\n --request \"GET\" \\\n --header \"x-goog-user-project: \u003cvar translate=\"no\"\u003eCALLING_PROJECT_ID\u003c/var\u003e\"\n --header \"Content-Type: application/json\" \\\n --header \"Authorization: Bearer \u003cvar translate=\"no\"\u003eTOKEN\u003c/var\u003e\"\n\nReplace the following:\n\n- \u003cvar translate=\"no\"\u003ePROJECT_ID\u003c/var\u003e: the ID of the project that contains the key ring.\n- \u003cvar translate=\"no\"\u003eCALLING_PROJECT_ID\u003c/var\u003e: the ID of the project from which you are calling the KMS Inventory API.\n\n| **Note:** This functionality is not available in client libraries during preview.\n\nWhile viewing your keys, you can select a key to view details about the key,\nincluding its associated key versions.\n\n### Key details\n\nThe key inventory provides comprehensive information about the cryptographic\nkeys in your project. Properties in the key inventory include the following:\n\n- **Key name**: The name of the key.\n- **Status** : The current key status based on the [state](/kms/docs/key-states) of the primary key version. This field applies to symmetric keys only.\n - **Available**: The primary key version is enabled. The key is available for use to encrypt and decrypt data.\n - **Not available**: The primary key version is disabled or empty. The key isn't available for use to encrypt data.\n - **Available in GCP**: For externally managed keys, the key (not necessarily the externally managed key itself) is available for use.\n- **Key ring**: Name of the parent key ring.\n- **Location**: Location where key material resides.\n- **Current rotation**: The date and time the key was last rotated. This field shows when the current key version was created.\n- **Rotation frequency**: The current rotation frequency of the key.\n- **Next rotation**: The date of the next scheduled key rotation. A new key version will be created automatically on this date.\n- **Protection level** : The [protection level](/kms/docs/algorithms#protection_levels) of the key, for example, HSM or Software.\n- **EKM via VPC connection** : For external keys accessed over VPC, the name of the [EKM via VPC connection](/kms/docs/create-ekm-connection#terminology) that the key uses. This field is hidden by default and is blank for keys with protection levels other than `External\n via VPC`.\n- **Purpose**: The scenario in which the key may be used.\n- **Labels**: Labels applied on the key.\n\nLimitations\n-----------\n\n- The **Key ring** tab can display at most 1,000 resources (including key\n rings, keys, and key versions) per [location](/kms/docs/locations). To view key rings for a\n project and location with more than 1,000 resources, use the\n [keyRings.list API](/kms/docs/reference/rest/v1/projects.locations.keyRings/list).\n\n- The **Key inventory** tab can display at most 20,000 resources (including\n key rings, keys, and key versions) per project. To view keys for a project\n with more than 20,000 resources, use the [keyRings.cryptoKeys.list API](/kms/docs/reference/rest/v1/projects.locations.keyRings.cryptoKeys/list)."]]
