Ver uso da chave

Nesta página, mostramos como visualizar os recursos Google Cloud na sua organização que são protegidos pelas chaves do Cloud KMS. O rastreamento do uso de chaves está disponível apenas em recursos da organização.

É possível conferir informações sobre os recursos que as chaves protegem em dois níveis:

  • As informações do resumo do uso da chave para cada chave incluem o número de recursos protegidos, projetos e produtos exclusivos do Google Cloud que usam a chave. Esse nível de detalhes está disponível para qualquer pessoa com o papel de leitor do Cloud KMS na chave.
  • As informações em Detalhe do uso da chave identificam quais recursos são protegidos por e dependem dessa chave. Esse nível de detalhes é privilegiado e está disponível apenas para contas com a função de leitor de recursos protegidos do Cloud KMS na organização.

Antes de começar

Nesta página, presumimos que você esteja usando o Cloud KMS em umGoogle Cloud recurso de organização.

  1. Ative a API Cloud KMS Inventory.

    Ativar a API

Funções exigidas

Para garantir que sua conta de serviço do Cloud KMS tenha as permissões necessárias para ativar o rastreamento do uso de chaves, peça ao administrador para conceder à sua conta de serviço do Cloud KMS o papel do IAM de agente de serviço da organização do Cloud KMS (roles/cloudkms.orgServiceAgent) na sua organização.

Para receber as permissões necessárias para ver informações de uso de chaves, peça ao administrador que conceda a você os seguintes papéis do IAM nas suas chaves:

Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias usando papéis personalizados ou outros papéis predefinidos.

Ver informações de uso da chave

Console

  1. No console do Google Cloud , acesse a página Inventário de chaves.

    Acessar o inventário de chaves

  2. Opcional: para filtrar a lista de chaves, insira os termos de pesquisa na caixa Filtro filter_list e pressione Enter. Por exemplo, é possível filtrar por local, chaveiro, status ou outras propriedades das chaves.

  3. Clique no nome da chave para ver as informações de uso.

  4. Clique na guia Rastreamento de uso.

  5. Opcional: para filtrar a lista de recursos protegidos, insira os termos de pesquisa na caixa filter_list Filtro e pressione Enter.

O resumo e os detalhes do uso da chave selecionada são mostrados.

CLI da gcloud

Para usar o Cloud KMS na linha de comando, primeiro instale ou faça upgrade para a versão mais recente da Google Cloud CLI.

Para conferir o resumo do uso da chave, use o método get-protected-resources-summary:

gcloud kms inventory get-protected-resources-summary \
    --keyname  projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME \

Substitua:

  • PROJECT_ID: o ID do projeto que contém o keyring.
  • LOCATION: o local do Cloud KMS do keyring.
  • KEY_RING: o nome do keyring que contém a chave.
  • KEY_NAME: o nome da chave para a qual você quer ver o resumo de uso.

Para conferir detalhes sobre o uso da chave, use o método search-protected-resources:

gcloud kms inventory search-protected-resources \
    --keyname  projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME \
    --scope=organizations/ORGANIZATION_ID

Substitua:

  • PROJECT_ID: o ID do projeto que contém o keyring.
  • LOCATION: o local do Cloud KMS do keyring.
  • KEY_RING: o nome do keyring que contém a chave.
  • KEY_NAME: o nome da chave para a qual você quer ver os detalhes de uso.
  • ORGANIZATION_ID: o ID numérico da sua organização.

API

Estes exemplos usam curl como um cliente HTTP para demonstrar o uso da API. Para mais informações sobre controle de acesso, consulte Como acessar a API Cloud KMS.

Para conferir o resumo do uso da chave, use o método cryptoKeys.getProtectedResourcesSummary:

curl  "https://kmsinventory.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/protectedResourcesSummary"
    --request "GET" \
    --header "x-goog-user-project: CALLING_PROJECT_ID"
    --header "Content-Type: application/json" \
    --header "Authorization: Bearer TOKEN"

Substitua:

  • PROJECT_ID: o ID do projeto que contém o keyring.
  • LOCATION: o local do Cloud KMS do keyring.
  • KEY_RING: o nome do keyring que contém a chave.
  • KEY_NAME: o nome da chave para a qual você quer ver o resumo de uso.
  • CALLING_PROJECT_ID: o ID do projeto de que você está chamando a API KMS Inventory.

Para conferir detalhes sobre o uso da chave, use o método protectedResources.search:

curl "https://kmsinventory.googleapis.com/v1/organizations/ORGANIZATION_ID/protectedResources:search?crypto_key=projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME"
    --request "GET" \
    --header "x-goog-user-project: CALLING_PROJECT_ID"
    --header "Content-Type: application/json" \
    --header "Authorization: Bearer TOKEN"

Substitua:

  • ORGANIZATION_ID: o ID numérico da sua organização.
  • PROJECT_ID: o ID do projeto que contém o keyring.
  • LOCATION: o local do Cloud KMS do keyring.
  • KEY_RING: o nome do keyring que contém a chave.
  • KEY_NAME: o nome da chave para a qual você quer ver os detalhes de uso.
  • CALLING_PROJECT_ID: o ID do projeto de que você está chamando a API KMS Inventory.

Detalhes importantes do uso

Os detalhes de uso dos recursos protegidos criptografados com a chave selecionada incluem o seguinte:

  • Nome: o nome do recurso Google Cloud protegido pela chave selecionada.
  • Projeto: o nome do projeto que contém o recurso protegido.
  • Versão da chave criptográfica: a versão da chave usada para criptografar esse recurso. Alguns recursos protegidos não informam a versão da chave criptográfica.
  • Produto do Cloud: o Google Cloud produto associado a este recurso.
  • Tipo de recurso: o tipo de recurso protegido, por exemplo, bucket (Cloud Storage) ou disco (Compute Engine).
  • Local: a região Google Cloud associada ao recurso.
  • Data de criação: a hora em que o recurso foi criado.
  • Rótulos: um conjunto de pares de chave-valor associados ao recurso.

Listar as versões de chave que protegem um recurso

Se um recurso for protegido por várias versões de chave, talvez não seja possível ver a lista completa na guia Rastreamento de uso.

Para listar as versões de chave que protegem um recurso, use a CLI gcloud para executar o seguinte comando:

gcloud beta kms inventory search-protected-resources \
  --keyname=KEY_NAME \
  --scope=organizations/ORGANIZATION_ID \
  --filter="name:RESOURCE_NAME" \
  --flatten="cryptoKeyVersions" \
  --format="value(cryptoKeyVersions)"

Substitua:

  • KEY_NAME: o nome da chave para a qual você quer listar as versões.
  • ORGANIZATION_ID: o ID numérico da sua organização.
  • RESOURCE_NAME: o nome do recurso para o qual você quer listar as versões de chave.

Limitações

Ao usar o rastreamento de uso de chave, observe o seguinte:

  • O rastreamento do uso de chaves está disponível apenas para o uso de chaves CMEK. Se você estiver usando uma versão de chave nos seus aplicativos dentro ou fora do Google Cloud, esse uso não será incluído na guia Acompanhamento de uso.
  • Alguns recursos da CMEK não são rastreados. Para tipos de recursos que não estão listados em Tipos de recursos rastreados, as informações de uso da chave podem não estar incluídas nos detalhes de uso da chave. Por exemplo, o uso de chaves pelo Datastream para criptografar recursos ConnectionProfile (datastream.googleapis.com/ConnectionProfile) não é mostrado na guia Rastreamento de uso.
  • Os dados podem estar atrasados. Por exemplo, se você criar um novo recurso protegido, ele e a versão da chave associada não serão adicionados imediatamente à guia Rastreamento de uso.
  • Os dados de uso de chaves do Cloud Storage estão sujeitos às seguintes limitações adicionais:
    • Os dados de uso de chaves são agregados de objetos para intervalos. Os nomes dos objetos não são mostrados. Um bucket será mostrado como usando uma chave se tiver pelo menos um objeto que a utilize.
    • O rastreamento do uso de chaves pode não ser concluído para buckets que contêm objetos protegidos com mais de 4.000 versões de chaves exclusivas.
  • Os detalhes do rastreamento de uso de chave são apenas para fins informativos. Faça sua própria diligência usando outras fontes antes de fazer mudanças que possam resultar em interrupções ou perda de dados. Não desative nem destrua versões de chaves com base apenas nas informações de rastreamento de uso de chaves.

Tipos de recursos rastreados

Os seguintes tipos de recursos são suportados:

    Serviço Recurso
    AlloyDB para PostgreSQL alloydb.googleapis.com/Backup
    AlloyDB para PostgreSQL alloydb.googleapis.com/Cluster
    Apigee apigee.googleapis.com/Organization
    Apigee apigee.googleapis.com/Instance
    Hub de APIs da Apigee apihub.googleapis.com/ApiHubInstance
    Artifact Registry artifactregistry.googleapis.com/Repository
    BigQuery bigquery.googleapis.com/Dataset
    BigQuery bigquery.googleapis.com/Model
    BigQuery bigquery.googleapis.com/Table
    BigQuery bigquerydatatransfer.googleapis.com/TransferConfig
    Bigtable bigtableadmin.googleapis.com/Backup
    Bigtable bigtableadmin.googleapis.com/Cluster
    Bigtable bigtableadmin.googleapis.com/Table
    Cloud Composer composer.googleapis.com/Environment
    Cloud Data Fusion datafusion.googleapis.com/Instance
    API Cloud Healthcare healthcare.googleapis.com/Dataset
    Cloud Logging logging.googleapis.com/LogBucket
    Cloud Run run.googleapis.com/Revision
    Cloud Run functions cloudfunctions.googleapis.com/CloudFunction
    Cloud Run functions cloudfunctions.googleapis.com/Function
    Cloud SQL sqladmin.googleapis.com/BackupRun
    Cloud SQL sqladmin.googleapis.com/Instance
    Cloud Storage storage.googleapis.com/Bucket
    Cloud Workstations workstations.googleapis.com/Workstation
    Cloud Workstations workstations.googleapis.com/WorkstationConfig
    Compute Engine compute.googleapis.com/Disk
    Compute Engine compute.googleapis.com/Image
    Compute Engine compute.googleapis.com/MachineImage
    Compute Engine compute.googleapis.com/Snapshot
    Database Migration Service datamigration.googleapis.com/MigrationJob
    Database Migration Service datamigration.googleapis.com/ConnectionProfile
    Dataflow dataflow.googleapis.com/Job
    Dataproc dataproc.googleapis.com/Cluster
    Dataproc dataproc.googleapis.com/Batch
    Dataproc Metastore metastore.googleapis.com/Service
    Datastream datastream.googleapis.com/Stream
    Document AI documentai.googleapis.com/HumanReviewConfig
    Document AI documentai.googleapis.com/Processor
    Document AI documentai.googleapis.com/ProcessorVersion
    Filestore file.googleapis.com/Instance
    Filestore file.googleapis.com/Backup
    Firestore firestore.googleapis.com/Database
    Firestore datastore.googleapis.com/Database
    Gemini Enterprise discoveryengine.googleapis.com/DataStore
    Google Kubernetes Engine container.googleapis.com/Cluster
    Looker (Google Cloud Core) looker.googleapis.com/Instance
    Memorystore for Redis redis.googleapis.com/Instance
    Migrate to Virtual Machines vmmigration.googleapis.com/Source
    Pub/Sub pubsub.googleapis.com/Topic
    Secret Manager secretmanager.googleapis.com/Secret
    Secret Manager secretmanager.googleapis.com/SecretVersion
    Secure Source Manager securesourcemanager.googleapis.com/Instance
    Spanner spanner.googleapis.com/Database
    Vertex AI aiplatform.googleapis.com/Dataset
    Vertex AI aiplatform.googleapis.com/Featurestore
    Vertex AI aiplatform.googleapis.com/Tensorboard
    Vertex AI aiplatform.googleapis.com/BatchPredictionJob
    Vertex AI aiplatform.googleapis.com/CustomJob
    Vertex AI aiplatform.googleapis.com/Endpoint
    Vertex AI aiplatform.googleapis.com/Model
    Vertex AI aiplatform.googleapis.com/TrainingPipeline
    Vertex AI aiplatform.googleapis.com/PipelineJob
    Vertex AI aiplatform.googleapis.com/MetadataStore
    Vertex AI para Pesquisa discoveryengine.googleapis.com/DataStore
    Instâncias do Vertex AI Workbench notebooks.googleapis.com/Instance
    Workflows workflows.googleapis.com/Workflow