Consulta el uso de las claves

En esta página, se muestra cómo ver los recursos Google Cloud de tu organización que están protegidos por tus claves de Cloud KMS. El seguimiento del uso de claves está disponible en los recursos de la organización para las organizaciones que usan un modelo de administración de claves centralizado. Si usas un modelo de administración de claves delegada, puedes ver los datos de seguimiento del uso de claves con el alcance del proyecto seleccionado (Vista previa).

Puedes ver información sobre los recursos que protegen tus claves en dos niveles:

  • Resumen del uso de la clave: Incluye la cantidad de recursos protegidos, proyectos y productos únicos de Google Cloud que usan cada clave. Este nivel de detalle está disponible para cualquier persona que tenga el rol de Visor de Cloud KMS en la clave. El alcance de los datos de resumen de uso de claves que puedes ver depende de tu modelo de administración de claves.
    • Administración de claves centralizada: Si la cuenta de servicio de Cloud KMS tiene el rol de Agente de servicio de la organización de Cloud KMS en la organización, puedes ver los datos de resumen del uso de las claves para los recursos protegidos por la clave, incluso para los recursos de cualquier proyecto dentro de la organización.
    • Administración de claves delegada (vista previa): Si la cuenta de servicio de Cloud KMS no tiene el rol de Agente de servicio de la organización de Cloud KMS en la organización, solo podrás ver los datos de resumen del uso de claves para los recursos del mismo proyecto. Si solo ves los datos de uso de claves del mismo proyecto, en el panel Seguimiento del uso se muestra un aviso que indica que el alcance de los datos que se muestran se limita al proyecto seleccionado.
  • Detalles del uso de la clave: Enumera los recursos que están protegidos por esta clave y dependen de ella. El alcance de los detalles de uso de la clave que puedes ver depende de tu modelo de administración de claves.
    • Administración de claves centralizada: Si tienes el rol de Visualizador de recursos protegidos de Cloud KMS en la organización y la cuenta de servicio de Cloud KMS tiene el rol de Agente de servicio de la organización de Cloud KMS en la organización, puedes ver los detalles del uso de las claves para los recursos protegidos por la clave, incluso para los recursos que se encuentran en otro proyecto.
    • Administración de claves delegada (vista previa): Si tienes el rol de Visualizador de recursos protegidos de Cloud KMS en el proyecto, pero no en la organización, solo puedes ver los detalles del uso de claves para los recursos del mismo proyecto. Si tus permisos te limitan a ver los recursos del mismo proyecto, en el panel de Seguimiento del uso, se mostrará un aviso que indica el alcance limitado de los datos.

Antes de comenzar

  1. Habilita la API de Cloud KMS Inventory en el proyecto para el que deseas ver los datos de uso de claves.

    Habilitar la API

Roles obligatorios

Si usas Cloud KMS con un modelo de administración de claves centralizado, debes otorgar los permisos necesarios a la cuenta de servicio de Cloud KMS.

Tanto para la administración de claves centralizada como para la administración de claves delegada (versión preliminar), las cuentas de usuario que necesiten ver los datos de uso de claves deben tener los permisos necesarios.

Rol de la cuenta de servicio de Cloud KMS

Si usas un modelo de administración de claves delegadas y no necesitas ver los datos de uso de claves agregados en toda tu organización, ve a la sección Roles de la cuenta de usuario de esta página.

Para asegurarte de que tu cuenta de servicio de Cloud KMS tenga los permisos necesarios para habilitar el seguimiento del uso de claves a nivel de la organización, pídele a tu administrador que le otorgue a tu cuenta de servicio de Cloud KMS el rol de IAM de Agente de servicios de organización de Cloud KMS (roles/cloudkms.orgServiceAgent) en tu organización.

Roles de la cuenta de usuario

El panel Seguimiento del uso muestra información diferente según si tu cuenta de usuario tiene los roles necesarios en el proyecto o en la organización principal. Si tu organización usa un modelo de administración de claves centralizado, otorga los siguientes roles en la organización. Si tu organización usa un modelo de administración de claves delegada, puedes otorgar los roles necesarios en el proyecto para ver los detalles del uso de las claves con el alcance del proyecto seleccionado (versión preliminar).

Para obtener los permisos que necesitas y ver la información de uso de claves, pídele a tu administrador que te otorgue los siguientes roles de IAM:

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.

Consulta la información de uso de claves

Console

  1. En la consola de Google Cloud , ve a la página Inventario de claves.

    Ir a Inventario de claves

  2. Opcional: Para filtrar la lista de claves, ingresa los términos de búsqueda en el cuadro Filtro de filter_list y, luego, presiona Intro. Por ejemplo, puedes filtrar por ubicación, llavero, estado o cualquier otra propiedad de las llaves.

  3. Haz clic en el nombre de la clave para la que deseas ver la información de uso.

  4. Haz clic en la pestaña Seguimiento del uso.

  5. Opcional: Para filtrar la lista de recursos protegidos, ingresa los términos de búsqueda en el cuadro Filtro de filter_list y, luego, presiona Intro.

Se muestran el resumen y los detalles del uso de la clave seleccionada. Si tú y la cuenta de servicio de Cloud KMS tienen los roles necesarios a nivel de la organización, puedes ver los detalles del uso de las claves para todos los recursos de la organización que están protegidos por claves en el proyecto seleccionado. Si tienes los roles requeridos solo a nivel del proyecto o si la cuenta de servicio de Cloud KMS no tiene el rol requerido en la organización, puedes ver los detalles del uso de las claves para todos los recursos del proyecto seleccionado que estén protegidos por claves en el mismo proyecto (versión preliminar). Si ves detalles del mismo proyecto, aparecerá un aviso en la pestaña Seguimiento del uso que te indicará el alcance de los datos que se muestran.

gcloud CLI

Para usar Cloud KMS en la línea de comandos, primero instala o actualiza a la versión más reciente de Google Cloud CLI.

Para ver el resumen del uso de claves, usa el método get-protected-resources-summary:

gcloud kms inventory get-protected-resources-summary \
    --keyname projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME \

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID del proyecto que contiene el llavero de claves.
  • LOCATION: la ubicación de Cloud KMS del llavero de claves.
  • KEY_RING: el nombre del llavero de claves que incluye la clave
  • KEY_NAME: Es el nombre de la clave para la que deseas ver el resumen de uso.

Para ver los detalles del uso de la clave, usa el método search-protected-resources:

gcloud kms inventory search-protected-resources \
    --keyname projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME \
    --scope=organizations/ORGANIZATION_ID

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID del proyecto que contiene el llavero de claves.
  • LOCATION: la ubicación de Cloud KMS del llavero de claves.
  • KEY_RING: el nombre del llavero de claves que incluye la clave
  • KEY_NAME: Es el nombre de la clave para la que deseas ver los detalles de uso.
  • ORGANIZATION_ID: Es el ID numérico de tu organización.

De forma predeterminada, este método devuelve detalles del uso de la clave para todos los recursos de tu organización que están protegidos por la clave indicada. Si tienes el rol de Visualizador de recursos protegidos por Cloud KMS a nivel del proyecto, pero no a nivel de la organización, o si la cuenta de servicio de Cloud KMS no tiene el rol requerido en la organización, el resultado indica que los datos devueltos se limitan al proyecto seleccionado (Vista previa).

API

En estos ejemplos, se usa curl como un cliente HTTP para demostrar el uso de la API. Para obtener más información sobre el control de acceso, consulta Accede a la API de Cloud KMS.

Para ver el resumen del uso de claves, usa el método cryptoKeys.getProtectedResourcesSummary:

curl "https://kmsinventory.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/protectedResourcesSummary"
    --request "GET" \
    --header "x-goog-user-project: CALLING_PROJECT_ID"
    --header "Content-Type: application/json" \
    --header "Authorization: Bearer TOKEN"

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID del proyecto que contiene el llavero de claves.
  • LOCATION: la ubicación de Cloud KMS del llavero de claves.
  • KEY_RING: el nombre del llavero de claves que incluye la clave
  • KEY_NAME: Es el nombre de la clave para la que deseas ver el resumen de uso.
  • CALLING_PROJECT_ID: Es el ID del proyecto desde el que llamas a la API de Cloud KMS Inventory.

Para ver los detalles del uso de la clave, usa el método protectedResources.search:

curl "https://kmsinventory.googleapis.com/v1/organizations/ORGANIZATION_ID/protectedResources:search?crypto_key=projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME"
    --request "GET" \
    --header "x-goog-user-project: CALLING_PROJECT_ID"
    --header "Content-Type: application/json" \
    --header "Authorization: Bearer TOKEN"

Reemplaza lo siguiente:

  • ORGANIZATION_ID: Es el ID numérico de tu organización.
  • PROJECT_ID: Es el ID del proyecto que contiene el llavero de claves.
  • LOCATION: la ubicación de Cloud KMS del llavero de claves.
  • KEY_RING: el nombre del llavero de claves que incluye la clave
  • KEY_NAME: Es el nombre de la clave para la que deseas ver los detalles de uso.
  • CALLING_PROJECT_ID: Es el ID del proyecto desde el que llamas a la API de Cloud KMS Inventory.

De forma predeterminada, este método devuelve detalles del uso de la clave para todos los recursos de tu organización que están protegidos por la clave indicada. Si tienes el rol de Visualizador de recursos protegidos por Cloud KMS a nivel del proyecto, pero no a nivel de la organización, o si la cuenta de servicio de Cloud KMS no tiene el rol requerido en la organización, el resultado indica que los datos devueltos se limitan al proyecto seleccionado (Vista previa).

Detalles clave de uso

Los detalles de uso sobre los recursos protegidos que se encriptan con la clave seleccionada incluyen lo siguiente:

  • Nombre: Es el nombre del recurso Google Cloud protegido por la clave seleccionada.
  • Proyecto: Es el nombre del proyecto que contiene el recurso protegido.
  • Versión de la clave criptográfica: Es la versión de la clave que se usó para encriptar este recurso. Algunos recursos protegidos no informan la versión de la clave criptográfica.
  • Producto de Cloud: Es el producto de Google Cloud asociado a este recurso.
  • Tipo de recurso: Es el tipo de recurso protegido, por ejemplo, Bucket (Cloud Storage) o Disk (Compute Engine).
  • Ubicación: Es la región Google Cloud asociada al recurso.
  • Fecha de creación: Es la fecha y hora en la que se creó el recurso.
  • Etiquetas: Es un conjunto de pares clave-valor asociados al recurso.

Enumera las versiones de clave que protegen un recurso

Si un recurso está protegido por varias versiones de clave, es posible que no puedas ver la lista completa de versiones de clave en la pestaña Seguimiento del uso.

Para enumerar las versiones de la clave que protegen un recurso, usa gcloud CLI para ejecutar el siguiente comando:

gcloud beta kms inventory search-protected-resources \
  --keyname=KEY_NAME \
  --scope=organizations/ORGANIZATION_ID \
  --filter="name:RESOURCE_NAME" \
  --flatten="cryptoKeyVersions" \
  --format="value(cryptoKeyVersions)"

Reemplaza lo siguiente:

  • KEY_NAME: Es el nombre de la clave para la que deseas enumerar las versiones.
  • ORGANIZATION_ID: Es el ID numérico de tu organización.
  • RESOURCE_NAME: Es el nombre del recurso para el que deseas enumerar las versiones de la clave.

Limitaciones

Cuando uses el seguimiento de uso de claves, ten en cuenta lo siguiente:

  • El seguimiento del uso de claves solo está disponible para el uso de claves CMEK. Si usas una versión de clave en tus aplicaciones dentro o fuera de Google Cloud, ese uso no se incluye en la pestaña Seguimiento del uso.
  • De forma predeterminada, la información de seguimiento del uso de claves se proporciona a nivel de la organización para todos los recursos rastreables de la organización que están protegidos por la clave seleccionada. Sin embargo, si tienes el Visualizador de recursos protegidos de Cloud KMS en el proyecto, pero no en la organización, el seguimiento del uso de claves se proporciona a nivel del proyecto para los recursos del proyecto seleccionado que están protegidos por la clave seleccionada (vista previa). Cuando se proporcionan datos de seguimiento del uso de claves a nivel del proyecto, el resultado indica que los datos se limitan al proyecto seleccionado.
  • La información de seguimiento del uso de claves solo se puede mostrar a nivel de la organización si la cuenta de servicio de Cloud KMS tiene el rol Agente de servicios de organización de Cloud KMS requerido en la organización. Si la cuenta de servicio no tiene el rol requerido, los datos de uso de la clave se limitan al proyecto seleccionado (Vista previa).
  • No se hace un seguimiento de algunos recursos de CMEK. En el caso de los tipos de recursos que no se enumeran en Tipos de recursos supervisados, es posible que la información sobre el uso de la clave no se incluya en los detalles del uso de la clave. Por ejemplo, el uso de claves por parte de Datastream para encriptar recursos de ConnectionProfile (datastream.googleapis.com/ConnectionProfile) no se muestra en la pestaña Seguimiento del uso.
  • Es posible que los datos se demoren. Por ejemplo, si creas un recurso protegido nuevo, el recurso protegido y la versión de clave asociada no se agregan de inmediato a la pestaña Seguimiento del uso.
  • Los datos de uso de las claves de Cloud Storage están sujetos a las siguientes limitaciones adicionales:
    • Los datos de uso de claves se agregan desde los objetos a los buckets. No se muestran los nombres de los objetos. Se mostrará que un bucket usa una clave si tiene al menos un objeto que la usa.
    • Es posible que el seguimiento del uso de claves no esté completo para los buckets que contienen objetos protegidos con más de 4,000 versiones de claves únicas.
  • Los detalles del seguimiento del uso de claves solo tienen fines informativos. Realiza tu propia diligencia debida con otras fuentes antes de realizar cambios que puedan provocar interrupciones o pérdida de datos. No inhabilite ni destruya versiones de claves solo en función de la información de seguimiento del uso de claves.

Tipos de recursos supervisados

Se admiten los siguientes tipos de recursos:

    Servicio Recurso
    AlloyDB para PostgreSQL alloydb.googleapis.com/Backup
    AlloyDB para PostgreSQL alloydb.googleapis.com/Cluster
    Apigee apigee.googleapis.com/Organization
    Apigee apigee.googleapis.com/Instance
    Concentrador de API de Apigee apihub.googleapis.com/ApiHubInstance
    Artifact Registry artifactregistry.googleapis.com/Repository
    Servicio de copia de seguridad y DR backupdr.googleapis.com/BackupVault
    Servicio de copia de seguridad y DR backupdr.googleapis.com/Backup
    BigQuery bigquery.googleapis.com/Dataset
    BigQuery bigquery.googleapis.com/Model
    BigQuery bigquery.googleapis.com/Table
    BigQuery bigquerydatatransfer.googleapis.com/TransferConfig
    Bigtable bigtableadmin.googleapis.com/Backup
    Bigtable bigtableadmin.googleapis.com/Cluster
    Bigtable bigtableadmin.googleapis.com/Table
    Cloud Composer composer.googleapis.com/Environment
    Cloud Data Fusion datafusion.googleapis.com/Instance
    API de Cloud Healthcare healthcare.googleapis.com/Dataset
    Cloud Logging logging.googleapis.com/LogBucket
    Cloud Run run.googleapis.com/Revision
    Cloud Run Functions cloudfunctions.googleapis.com/CloudFunction
    Cloud Run Functions cloudfunctions.googleapis.com/Function
    Cloud SQL sqladmin.googleapis.com/BackupRun
    Cloud SQL sqladmin.googleapis.com/Instance
    Cloud Storage storage.googleapis.com/Bucket
    Cloud Workstations workstations.googleapis.com/Workstation
    Cloud Workstations workstations.googleapis.com/WorkstationConfig
    Compute Engine compute.googleapis.com/Disk
    Compute Engine compute.googleapis.com/Image
    Compute Engine compute.googleapis.com/MachineImage
    Compute Engine compute.googleapis.com/Snapshot
    Database Migration Service datamigration.googleapis.com/MigrationJob
    Database Migration Service datamigration.googleapis.com/ConnectionProfile
    Dataflow dataflow.googleapis.com/Job
    Dataproc dataproc.googleapis.com/Cluster
    Dataproc dataproc.googleapis.com/Batch
    Dataproc Metastore metastore.googleapis.com/Service
    Datastream datastream.googleapis.com/Stream
    Document AI documentai.googleapis.com/HumanReviewConfig
    Document AI documentai.googleapis.com/Processor
    Document AI documentai.googleapis.com/ProcessorVersion
    Filestore file.googleapis.com/Instance
    Filestore file.googleapis.com/Backup
    Firestore firestore.googleapis.com/Database
    Firestore datastore.googleapis.com/Database
    Gemini Enterprise discoveryengine.googleapis.com/DataStore
    Google Cloud Managed Lustre lustre.googleapis.com/Instance
    Google Kubernetes Engine container.googleapis.com/Cluster
    Looker (Google Cloud Core) looker.googleapis.com/Instance
    Memorystore for Redis redis.googleapis.com/Instance
    Migrate to Virtual Machines vmmigration.googleapis.com/Source
    Pub/Sub pubsub.googleapis.com/Topic
    Secret Manager secretmanager.googleapis.com/Secret
    Secret Manager secretmanager.googleapis.com/SecretVersion
    Secure Source Manager securesourcemanager.googleapis.com/Instance
    Spanner spanner.googleapis.com/Database
    Vertex AI aiplatform.googleapis.com/Dataset
    Vertex AI aiplatform.googleapis.com/Featurestore
    Vertex AI aiplatform.googleapis.com/Tensorboard
    Vertex AI aiplatform.googleapis.com/BatchPredictionJob
    Vertex AI aiplatform.googleapis.com/CustomJob
    Vertex AI aiplatform.googleapis.com/Endpoint
    Vertex AI aiplatform.googleapis.com/Model
    Vertex AI aiplatform.googleapis.com/TrainingPipeline
    Vertex AI aiplatform.googleapis.com/PipelineJob
    Vertex AI aiplatform.googleapis.com/MetadataStore
    Vertex AI Search discoveryengine.googleapis.com/DataStore
    Instancias de Vertex AI Workbench notebooks.googleapis.com/Instance
    Workflows workflows.googleapis.com/Workflow