Esta página mostra como ver os Google Cloud recursos na sua organização que estão protegidos pelas suas chaves do Cloud KMS. A monitorização da utilização de chaves só está disponível nos recursos da organização.
Pode ver informações sobre os recursos que as suas chaves protegem em dois níveis:
- As informações do resumo da utilização de chaves para cada chave incluem o número de recursos protegidos, projetos e produtos únicos que usam a chave. Google Cloud Este nível de detalhe está disponível para qualquer pessoa com a função de visualizador do Cloud KMS na chave.
- As informações dos detalhes de utilização da chave identificam os recursos que estão protegidos por esta chave e que dependem dela. Este nível de detalhe é privilegiado e só está disponível para contas com a função de leitor de recursos protegidos do Cloud KMS na organização.
Antes de começar
Esta página pressupõe que está a usar o Cloud KMS num Google Cloud recurso de organização.
- Ative a API Cloud KMS Inventory.
Funções necessárias
Para garantir que a sua conta de serviço do Cloud KMS tem as autorizações necessárias para ativar a monitorização da utilização de chaves, peça ao seu administrador para conceder à sua conta de serviço do Cloud KMS a função de IAM de agente de serviço da organização do Cloud KMS (roles/cloudkms.orgServiceAgent) na sua organização.
Para receber as autorizações de que precisa para ver informações de utilização de chaves, peça ao seu administrador que lhe conceda as seguintes funções de IAM nas suas chaves:
-
Para ver resumos de utilização de chaves:
Visualizador do Cloud KMS (
roles/cloudkms.viewer) -
Para ver os detalhes de utilização das chaves:
Visualizador de recursos protegidos do Cloud KMS (
roles/cloudkms.protectedResourcesViewer)
Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.
Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.
Veja informações de utilização de chaves
Consola
Na Google Cloud consola, aceda à página Inventário principal.
Opcional: para filtrar a lista de chaves, introduza os termos de pesquisa na caixa filter_list Filtro e, de seguida, prima Enter. Por exemplo, pode filtrar por localização, anel chave, estado ou outras propriedades das chaves.
Clique no nome da chave para a qual quer ver informações de utilização.
Clique no separador Acompanhamento da utilização.
Opcional: para filtrar a lista de recursos protegidos, introduza os termos de pesquisa na caixa filter_list Filtro e, de seguida, prima Enter.
São apresentados o resumo e os detalhes da utilização da chave selecionada.
CLI gcloud
Para usar o Cloud KMS na linha de comandos, primeiro instale ou atualize para a versão mais recente da CLI do Google Cloud.
Para ver o resumo da utilização de chaves, use o método get-protected-resources-summary:
gcloud kms inventory get-protected-resources-summary \
--keyname projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME \
Substitua o seguinte:
PROJECT_ID: o ID do projeto que contém o conjunto de chaves.LOCATION: a localização do Cloud KMS do conjunto de chaves.KEY_RING: o nome do conjunto de chaves que contém a chave.KEY_NAME: o nome da chave para a qual quer ver o resumo de utilização.
Para ver detalhes da utilização de chaves, use o método search-protected-resources:
gcloud kms inventory search-protected-resources \
--keyname projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME \
--scope=organizations/ORGANIZATION_ID
Substitua o seguinte:
PROJECT_ID: o ID do projeto que contém o conjunto de chaves.LOCATION: a localização do Cloud KMS do conjunto de chaves.KEY_RING: o nome do conjunto de chaves que contém a chave.KEY_NAME: o nome da chave para a qual quer ver os detalhes de utilização.ORGANIZATION_ID: o ID numérico da sua organização.
API
Estes exemplos usam o curl como cliente HTTP para demonstrar a utilização da API. Para mais informações sobre o controlo de acesso, consulte o artigo Aceder à API Cloud KMS.
Para ver o resumo da utilização de chaves, use o método cryptoKeys.getProtectedResourcesSummary:
curl "https://kmsinventory.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/protectedResourcesSummary"
--request "GET" \
--header "x-goog-user-project: CALLING_PROJECT_ID"
--header "Content-Type: application/json" \
--header "Authorization: Bearer TOKEN"Substitua o seguinte:
PROJECT_ID: o ID do projeto que contém o conjunto de chaves.LOCATION: a localização do Cloud KMS do conjunto de chaves.KEY_RING: o nome do conjunto de chaves que contém a chave.KEY_NAME: o nome da chave para a qual quer ver o resumo de utilização.CALLING_PROJECT_ID: o ID do projeto a partir do qual está a chamar a API KMS Inventory.
Para ver detalhes da utilização de chaves, use o método
protectedResources.search:
curl "https://kmsinventory.googleapis.com/v1/organizations/ORGANIZATION_ID/protectedResources:search?crypto_key=projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME"
--request "GET" \
--header "x-goog-user-project: CALLING_PROJECT_ID"
--header "Content-Type: application/json" \
--header "Authorization: Bearer TOKEN"Substitua o seguinte:
ORGANIZATION_ID: o ID numérico da sua organização.PROJECT_ID: o ID do projeto que contém o conjunto de chaves.LOCATION: a localização do Cloud KMS do conjunto de chaves.KEY_RING: o nome do conjunto de chaves que contém a chave.KEY_NAME: o nome da chave para a qual quer ver os detalhes de utilização.CALLING_PROJECT_ID: o ID do projeto a partir do qual está a chamar a API KMS Inventory.
Principais detalhes de utilização
Os detalhes de utilização sobre os recursos protegidos que estão encriptados com a chave selecionada incluem o seguinte:
- Nome: o nome do Google Cloud recurso protegido pela chave selecionada.
- Projeto: o nome do projeto que contém o recurso protegido.
- Versão da chave criptográfica: a versão da chave usada para encriptar este recurso. Alguns recursos protegidos não comunicam a versão da chave criptográfica.
- Produto na nuvem: o Google Cloud produto associado a este recurso.
- Tipo de recurso: o tipo de recurso protegido, por exemplo, Bucket (Cloud Storage) ou Disco (Compute Engine).
- Localização: a Google Cloud região associada ao recurso.
- Data de criação: a hora em que o recurso foi criado.
- Etiquetas: um conjunto de pares de chave-valor associados ao recurso.
Liste as versões principais que protegem um recurso
Se um recurso estiver protegido por várias versões de chaves, pode não conseguir ver a lista completa de versões de chaves no separador Acompanhamento da utilização.
Para apresentar uma lista das versões de chaves que protegem um recurso, use a CLI gcloud para executar o seguinte comando:
gcloud beta kms inventory search-protected-resources \
--keyname=KEY_NAME \
--scope=organizations/ORGANIZATION_ID \
--filter="name:RESOURCE_NAME" \
--flatten="cryptoKeyVersions" \
--format="value(cryptoKeyVersions)"
Substitua o seguinte:
KEY_NAME: o nome da chave para a qual quer listar as versões da chave.ORGANIZATION_ID: o ID numérico da sua organização.RESOURCE_NAME: o nome do recurso para o qual quer listar as versões principais.
Limitações
Quando usar a monitorização da utilização de chaves, tenha em atenção o seguinte:
- A monitorização da utilização de chaves só está disponível para a utilização de chaves CMEK. Se estiver a usar uma versão de chave nas suas aplicações dentro ou fora do Google Cloud, esse uso não é incluído no separador Acompanhamento da utilização.
- Alguns recursos de CMEK não são acompanhados. Para tipos de recursos que não estão listados em
Tipos de recursos monitorizados, as informações de utilização das chaves
podem não estar incluídas nos detalhes de utilização das chaves. Por exemplo, a utilização de chaves pelo Datastream para encriptar recursos
ConnectionProfile(datastream.googleapis.com/ConnectionProfile) não é apresentada no separador Monitorização da utilização. - Os dados podem sofrer um atraso. Por exemplo, se criar um novo recurso protegido, o recurso protegido e a versão da chave associada não são adicionados imediatamente ao separador Acompanhamento da utilização.
- Os dados de utilização das chaves do Cloud Storage estão sujeitos às seguintes limitações adicionais:
- Os dados de utilização das chaves são agregados de objetos para contentores. Os nomes dos objetos não são apresentados. Um contentor é apresentado como a usar uma chave se tiver, pelo menos, um objeto a usar essa chave.
- A monitorização da utilização de chaves pode não estar concluída para contentores que contenham objetos protegidos com mais de 4000 versões de chaves únicas.
- Os detalhes de acompanhamento da utilização principais destinam-se apenas a fins informativos. Realize a sua própria diligência devida através de outras fontes antes de fazer alterações que possam resultar em indisponibilidades ou perda de dados. Não desative nem destrua versões de chaves com base apenas em informações de acompanhamento da utilização de chaves.
Tipos de recursos acompanhados
São suportados os seguintes tipos de recursos:
| Serviço | Recurso |
|---|---|
| AlloyDB para PostgreSQL | alloydb.googleapis.com/Backup |
| AlloyDB para PostgreSQL | alloydb.googleapis.com/Cluster |
| Apigee | apigee.googleapis.com/Organization |
| Apigee | apigee.googleapis.com/Instance |
| Hub de APIs Apigee | apihub.googleapis.com/ApiHubInstance |
| Artifact Registry | artifactregistry.googleapis.com/Repository |
| BigQuery | bigquery.googleapis.com/Dataset |
| BigQuery | bigquery.googleapis.com/Model |
| BigQuery | bigquery.googleapis.com/Table |
| BigQuery | bigquerydatatransfer.googleapis.com/TransferConfig |
| Bigtable | bigtableadmin.googleapis.com/Backup |
| Bigtable | bigtableadmin.googleapis.com/Cluster |
| Bigtable | bigtableadmin.googleapis.com/Table |
| Cloud Composer | composer.googleapis.com/Environment |
| Cloud Data Fusion | datafusion.googleapis.com/Instance |
| API Cloud Healthcare | healthcare.googleapis.com/Dataset |
| Cloud Logging | logging.googleapis.com/LogBucket |
| Cloud Run | run.googleapis.com/Revision |
| Funções do Cloud Run | cloudfunctions.googleapis.com/CloudFunction |
| Funções do Cloud Run | cloudfunctions.googleapis.com/Function |
| Cloud SQL | sqladmin.googleapis.com/BackupRun |
| Cloud SQL | sqladmin.googleapis.com/Instance |
| Cloud Storage | storage.googleapis.com/Bucket |
| Cloud Workstations | workstations.googleapis.com/Workstation |
| Cloud Workstations | workstations.googleapis.com/WorkstationConfig |
| Compute Engine | compute.googleapis.com/Disk |
| Compute Engine | compute.googleapis.com/Image |
| Compute Engine | compute.googleapis.com/MachineImage |
| Compute Engine | compute.googleapis.com/Snapshot |
| Database Migration Service | datamigration.googleapis.com/MigrationJob |
| Database Migration Service | datamigration.googleapis.com/ConnectionProfile |
| Dataflow | dataflow.googleapis.com/Job |
| Dataproc | dataproc.googleapis.com/Cluster |
| Dataproc | dataproc.googleapis.com/Batch |
| Dataproc Metastore | metastore.googleapis.com/Service |
| Datastream | datastream.googleapis.com/Stream |
| Document AI | documentai.googleapis.com/HumanReviewConfig |
| Document AI | documentai.googleapis.com/Processor |
| Document AI | documentai.googleapis.com/ProcessorVersion |
| Filestore | file.googleapis.com/Instance |
| Filestore | file.googleapis.com/Backup |
| Firestore | firestore.googleapis.com/Database |
| Firestore | datastore.googleapis.com/Database |
| Gemini Enterprise | discoveryengine.googleapis.com/DataStore |
| Google Kubernetes Engine | container.googleapis.com/Cluster |
| Looker (Google Cloud Core) | looker.googleapis.com/Instance |
| Memorystore for Redis | redis.googleapis.com/Instance |
| Migre para máquinas virtuais | vmmigration.googleapis.com/Source |
| Pub/Sub | pubsub.googleapis.com/Topic |
| Secret Manager | secretmanager.googleapis.com/Secret |
| Secret Manager | secretmanager.googleapis.com/SecretVersion |
| Secure Source Manager | securesourcemanager.googleapis.com/Instance |
| Spanner | spanner.googleapis.com/Database |
| Vertex AI | aiplatform.googleapis.com/Dataset |
| Vertex AI | aiplatform.googleapis.com/Featurestore |
| Vertex AI | aiplatform.googleapis.com/Tensorboard |
| Vertex AI | aiplatform.googleapis.com/BatchPredictionJob |
| Vertex AI | aiplatform.googleapis.com/CustomJob |
| Vertex AI | aiplatform.googleapis.com/Endpoint |
| Vertex AI | aiplatform.googleapis.com/Model |
| Vertex AI | aiplatform.googleapis.com/TrainingPipeline |
| Vertex AI | aiplatform.googleapis.com/PipelineJob |
| Vertex AI | aiplatform.googleapis.com/MetadataStore |
| Vertex AI Search | discoveryengine.googleapis.com/DataStore |
| Instâncias do Vertex AI Workbench | notebooks.googleapis.com/Instance |
| Workflows | workflows.googleapis.com/Workflow |