本页面介绍了如何在 Google Cloud 中查看密钥环和密钥 项目资源。
准备工作
请先完成所述的设置步骤,然后才能查看密钥环和密钥 部分。
启用 API
如需使用 API 查看密钥串和密钥,请启用 Cloud KMS 目录 API。
所需的角色
如需获取查看密钥所需的权限,
请让管理员授予您
您的项目的 Cloud KMS Viewer (roles/cloudkms.viewer) IAM 角色。
如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
此预定义角色包含 查看密钥所需的权限。如需查看所需的确切权限,请展开所需权限部分:
所需权限
如需查看密钥,您需要具备以下权限:
-
cloudkms.keyRings.list -
cloudkms.cryptoKeys.list -
cloudkms.locations.list -
resourcemanager.projects.get
查看密钥环
控制台
在 Google Cloud 控制台中,前往密钥环页面。
可选:如需过滤密钥环列表,请在 filter_list 过滤条件框和 然后按 Enter 键。
可选:要按列中的值对列表进行排序,请点击 列标题。
查看密钥环时,您可以选择密钥环来查看相关详细信息 关联的密钥和导入作业。
查看密钥
使用 Google Cloud 控制台查看在项目资源中创建的密钥。
控制台
在 Google Cloud 控制台中,前往密钥目录页面。
可选:如需过滤键列表,请在 filter_list Filter 框中输入搜索字词,然后按 Enter 键。
可选:要按列中的值对列表进行排序,请点击 列标题。
gcloud CLI
如需在命令行上使用 Cloud KMS,请先安装或升级到最新版本的 Google Cloud CLI。
gcloud kms inventory list-keys --project PROJECT_ID
将 PROJECT_ID 替换为您要为该项目创建的项目的名称
查看密钥列表
如需了解所有标志和可能值,请使用 --help 标志运行命令。
API
这些示例使用 curl 作为 HTTP 客户端来演示如何使用 API。如需详细了解访问权限控制,请参阅访问 Cloud KMS API。
curl "https://kmsinventory.googleapis.com/v1/projects/PROJECT_ID/cryptoKeys"
--request "GET" \
--header "x-goog-user-project: CALLING_PROJECT_ID"
--header "Content-Type: application/json" \
--header "Authorization: Bearer TOKEN"替换以下内容:
PROJECT_ID:包含密钥环的项目的 ID。CALLING_PROJECT_ID:所属项目的 ID 调用 KMS Inventory API。
查看密钥时,您可以选择一个密钥来查看该密钥的详细信息,包括其关联的密钥版本。
密钥详细信息
密钥目录提供有关项目中加密密钥的全面信息。关键清单中的媒体资源包括:
- 键名称:键的名称。
- 状态:根据主密钥版本的状态确定的当前密钥状态。此字段仅适用于对称密钥。
- 可用:主要密钥版本已启用。该密钥可用于加密和解密数据。
- 不可用:主密钥版本已停用或为空。关键 无法用于加密数据。
- 在 GCP 中可用:对于外部管理的密钥,密钥(不是 (必须由外部管理的密钥本身)可供使用。
- 密钥环:父级密钥环的名称。
- 位置:密钥材料所在的位置。
- 当前轮替:密钥上次轮替的日期和时间。此字段显示当前密钥版本的创建时间。
- 轮替频率:密钥的当前轮替频率。
- 下次轮替:安排下一次密钥轮替的日期。系统会在此日期自动创建新密钥版本。
- 保护级别:密钥的保护级别,例如 HSM 或“软件”
- 通过 VPC 连接的 EKM:对于通过 VPC 访问的外部密钥,是密钥使用的通过 VPC 连接的 EKM 的名称。此字段已被以下人员隐藏:
默认值;对于保护级别不是
External via VPC的密钥,此字段为空。 - 用途:可能使用密钥的场景。
- 标签:应用于密钥的标签。
限制
密钥环标签页最多可显示 1000 项资源(包括密钥 环、密钥和密钥版本)的数量。如需查看包含 1,000 多个资源的项目和位置的钥匙串,请使用 keyRings.list API。
密钥清单标签页最多可显示 20,000 项资源(包括 密钥环、密钥和密钥版本)。查看项目的密钥 如果资源超过 20,000 项,请使用 keyRings.cryptoKeys.list API。