Afficher l'utilisation des clés

Cette page vous explique comment afficher les ressources Google Cloud de votre organisation qui sont protégées par vos clés Cloud KMS. Le suivi de l'utilisation des clés est disponible dans les ressources de l'organisation pour les organisations qui utilisent un modèle de gestion des clés centralisé. Si vous utilisez un modèle de gestion des clés déléguée, vous pouvez consulter les données de suivi de l'utilisation des clés limitées au projet sélectionné (Aperçu).

Vous pouvez afficher des informations sur les ressources protégées par vos clés à deux niveaux :

  • Récapitulatif de l'utilisation des clés : inclut le nombre de ressources protégées, de projets et de produits Google Cloud uniques qui utilisent chaque clé. Ce niveau de détail est disponible pour toute personne disposant du rôle Lecteur Cloud KMS sur la clé. L'étendue des données récapitulatives sur l'utilisation des clés que vous pouvez consulter dépend de votre modèle de gestion des clés.
    • Gestion centralisée des clés : si le compte de service Cloud KMS dispose du rôle Agent de service de l'organisation Cloud KMS dans l'organisation, vous pouvez consulter les données récapitulatives sur l'utilisation des clés pour les ressources protégées par la clé, même pour les ressources de n'importe quel projet de l'organisation.
    • Gestion de clés déléguée (aperçu) : si le compte de service Cloud KMS ne dispose pas du rôle Agent de service de l'organisation Cloud KMS dans l'organisation, vous ne pouvez consulter les données récapitulatives sur l'utilisation des clés que pour les ressources du même projet. Si vous n'affichez que les données d'utilisation des clés du même projet, le tableau de bord Suivi de l'utilisation affiche un message indiquant que le champ d'application des données affichées est limité au projet sélectionné.
  • Détails de l'utilisation de la clé : liste les ressources protégées par cette clé et qui en dépendent. L'étendue des informations sur l'utilisation des clés que vous pouvez consulter dépend de votre modèle de gestion des clés.
    • Gestion centralisée des clés : si vous disposez du rôle Lecteur des ressources protégées Cloud KMS au niveau de l'organisation et que le compte de service Cloud KMS dispose du rôle Agent de service de l'organisation Cloud KMS au niveau de l'organisation, vous pouvez consulter les détails d'utilisation des clés pour les ressources protégées par la clé, même si elles se trouvent dans un autre projet.
    • Gestion de clés déléguée (aperçu) : si vous disposez du rôle Lecteur de ressources protégées Cloud KMS au niveau du projet, mais pas au niveau de l'organisation, vous ne pouvez consulter les détails d'utilisation des clés que pour les ressources du même projet. Si vos autorisations vous limitent à l'affichage des ressources d'un même projet, le tableau de bord Suivi de l'utilisation affiche une notification indiquant la portée limitée des données.

Avant de commencer

  1. Activez l'API Cloud KMS Inventory sur le projet pour lequel vous souhaitez afficher les données d'utilisation des clés.

    Activer l'API

Rôles requis

Si vous utilisez Cloud KMS avec un modèle de gestion de clés centralisé, vous devez accorder les autorisations requises au compte de service Cloud KMS.

Pour la gestion centralisée et la gestion déléguée des clés (aperçu), les comptes utilisateur qui doivent afficher les données d'utilisation des clés doivent disposer des autorisations requises.

Rôle de compte de service Cloud KMS

Si vous utilisez un modèle de gestion des clés délégué et que vous n'avez pas besoin de voir les données d'utilisation des clés agrégées pour votre organisation, passez à la section Rôles des comptes utilisateur de cette page.

Pour vous assurer que votre compte de service Cloud KMS dispose des autorisations nécessaires pour activer le suivi de l'utilisation des clés au niveau de l'organisation, demandez à votre administrateur d'accorder à votre compte de service Cloud KMS le rôle IAM Agent de service d'organisation Cloud KMS (roles/cloudkms.orgServiceAgent) dans votre organisation.

Rôles des comptes utilisateur

Le tableau de bord Suivi de l'utilisation affiche des informations différentes selon que votre compte utilisateur dispose des rôles requis dans le projet ou dans l'organisation parente. Si votre organisation utilise un modèle de gestion de clés centralisé, accordez les rôles suivants à l'organisation. Si votre organisation utilise un modèle de gestion des clés délégué, vous pouvez attribuer les rôles requis sur le projet pour afficher les détails d'utilisation des clés limités au projet sélectionné (Aperçu).

Pour obtenir les autorisations nécessaires pour afficher les informations sur l'utilisation des clés, demandez à votre administrateur de vous accorder les rôles IAM suivants :

Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.

Afficher les informations sur l'utilisation des clés

Console

  1. Dans la console Google Cloud , accédez à la page Inventaire des clés.

    Accéder à l'inventaire des clés

  2. Facultatif : Pour filtrer la liste des clés, saisissez vos termes de recherche dans la zone Filtrer filter_list, puis appuyez sur Entrée. Par exemple, vous pouvez filtrer par emplacement, trousseau de clés, état ou d'autres propriétés des clés.

  3. Cliquez sur le nom de la clé pour laquelle vous souhaitez afficher des informations sur l'utilisation.

  4. Cliquez sur l'onglet Suivi de l'utilisation.

  5. Facultatif : Pour filtrer la liste des ressources protégées, saisissez vos termes de recherche dans la zone Filtrer filter_list, puis appuyez sur Entrée.

Un récapitulatif et des détails sur l'utilisation de la clé s'affichent pour la clé sélectionnée. Si vous et le compte de service Cloud KMS disposez des rôles requis au niveau de l'organisation, vous pouvez consulter les détails de l'utilisation des clés pour toutes les ressources de l'organisation protégées par des clés dans le projet sélectionné. Si vous ne disposez des rôles requis qu'au niveau du projet ou si le compte de service Cloud KMS ne dispose pas du rôle requis dans l'organisation, vous pouvez consulter les détails de l'utilisation des clés pour toutes les ressources du projet sélectionné qui sont protégées par des clés du même projet (Aperçu). Si vous consultez des détails pour un même projet, un avis s'affiche dans l'onglet Suivi de l'utilisation pour vous indiquer le champ d'application des données affichées.

gcloud CLI

Pour utiliser Cloud KMS sur la ligne de commande, commencez par installer ou mettre à jour Google Cloud CLI.

Pour afficher le récapitulatif de l'utilisation des clés, utilisez la méthode get-protected-resources-summary :

gcloud kms inventory get-protected-resources-summary \
    --keyname projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME \

Remplacez les éléments suivants :

  • PROJECT_ID : ID du projet contenant le trousseau de clés.
  • LOCATION : emplacement Cloud KMS du trousseau de clés.
  • KEY_RING : nom du trousseau de clés qui inclut la clé
  • KEY_NAME : nom de la clé pour laquelle vous souhaitez afficher le récapitulatif de l'utilisation.

Pour afficher les détails de l'utilisation d'une clé, utilisez la méthode search-protected-resources :

gcloud kms inventory search-protected-resources \
    --keyname projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME \
    --scope=organizations/ORGANIZATION_ID

Remplacez les éléments suivants :

  • PROJECT_ID : ID du projet contenant le trousseau de clés.
  • LOCATION : emplacement Cloud KMS du trousseau de clés.
  • KEY_RING : nom du trousseau de clés qui inclut la clé
  • KEY_NAME : nom de la clé pour laquelle vous souhaitez afficher les détails d'utilisation.
  • ORGANIZATION_ID : ID numérique de votre organisation.

Par défaut, cette méthode renvoie des informations sur l'utilisation des clés pour toutes les ressources de votre organisation protégées par la clé indiquée. Si vous disposez du rôle Lecteur de ressources protégées Cloud KMS au niveau du projet, mais pas au niveau de l'organisation, ou si le compte de service Cloud KMS ne dispose pas du rôle requis dans l'organisation, le résultat indique que les données renvoyées sont limitées au projet sélectionné (Aperçu).

API

Ces exemples utilisent curl comme client HTTP pour démontrer l'utilisation de l'API. Pour en savoir plus sur le contrôle des accès, consultez la page Accéder à l'API Cloud KMS.

Pour afficher le récapitulatif de l'utilisation des clés, utilisez la méthode cryptoKeys.getProtectedResourcesSummary :

curl "https://kmsinventory.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/protectedResourcesSummary"
    --request "GET" \
    --header "x-goog-user-project: CALLING_PROJECT_ID"
    --header "Content-Type: application/json" \
    --header "Authorization: Bearer TOKEN"

Remplacez les éléments suivants :

  • PROJECT_ID : ID du projet contenant le trousseau de clés.
  • LOCATION : emplacement Cloud KMS du trousseau de clés.
  • KEY_RING : nom du trousseau de clés qui inclut la clé
  • KEY_NAME : nom de la clé pour laquelle vous souhaitez afficher le récapitulatif de l'utilisation.
  • CALLING_PROJECT_ID : ID du projet à partir duquel vous appelez l'API Cloud KMS Inventory.

Pour afficher les détails de l'utilisation d'une clé, utilisez la méthode protectedResources.search :

curl "https://kmsinventory.googleapis.com/v1/organizations/ORGANIZATION_ID/protectedResources:search?crypto_key=projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME"
    --request "GET" \
    --header "x-goog-user-project: CALLING_PROJECT_ID"
    --header "Content-Type: application/json" \
    --header "Authorization: Bearer TOKEN"

Remplacez les éléments suivants :

  • ORGANIZATION_ID : ID numérique de votre organisation.
  • PROJECT_ID : ID du projet contenant le trousseau de clés.
  • LOCATION : emplacement Cloud KMS du trousseau de clés.
  • KEY_RING : nom du trousseau de clés qui inclut la clé
  • KEY_NAME : nom de la clé pour laquelle vous souhaitez afficher les détails d'utilisation.
  • CALLING_PROJECT_ID : ID du projet à partir duquel vous appelez l'API Cloud KMS Inventory.

Par défaut, cette méthode renvoie des informations sur l'utilisation des clés pour toutes les ressources de votre organisation protégées par la clé indiquée. Si vous disposez du rôle Lecteur de ressources protégées Cloud KMS au niveau du projet, mais pas au niveau de l'organisation, ou si le compte de service Cloud KMS ne dispose pas du rôle requis dans l'organisation, le résultat indique que les données renvoyées sont limitées au projet sélectionné (Aperçu).

Détails sur l'utilisation de la clé

Les détails d'utilisation des ressources protégées chiffrées avec la clé sélectionnée incluent les éléments suivants :

  • Nom : nom de la ressource Google Cloud protégée par la clé sélectionnée.
  • Projet : nom du projet contenant la ressource protégée.
  • Version de la clé de chiffrement : version de la clé utilisée pour chiffrer cette ressource. Certaines ressources protégées n'indiquent pas la version de la clé cryptographique.
  • Produit Cloud : produit Google Cloud associé à cette ressource.
  • Type de ressource : type de ressource protégée, par exemple "Bucket" (Cloud Storage) ou "Disque" (Compute Engine).
  • Emplacement : région Google Cloud associée à la ressource.
  • Date de création : heure à laquelle la ressource a été créée.
  • Libellés : ensemble de paires clé-valeur associées à la ressource.

Lister les versions de clé qui protègent une ressource

Si une ressource est protégée par plusieurs versions de clé, il est possible que vous ne puissiez pas voir la liste complète des versions de clé dans l'onglet Suivi de l'utilisation.

Pour lister les versions de clé qui protègent une ressource, utilisez la gcloud CLI pour exécuter la commande suivante :

gcloud beta kms inventory search-protected-resources \
  --keyname=KEY_NAME \
  --scope=organizations/ORGANIZATION_ID \
  --filter="name:RESOURCE_NAME" \
  --flatten="cryptoKeyVersions" \
  --format="value(cryptoKeyVersions)"

Remplacez les éléments suivants :

  • KEY_NAME : nom de la clé pour laquelle vous souhaitez lister les versions.
  • ORGANIZATION_ID : ID numérique de votre organisation.
  • RESOURCE_NAME : nom de la ressource pour laquelle vous souhaitez lister les versions de clé.

Limites

Lorsque vous utilisez le suivi de l'utilisation des clés, tenez compte des points suivants :

  • Le suivi de l'utilisation des clés n'est disponible que pour les clés CMEK. Si vous utilisez une version de clé dans vos applications à l'intérieur ou à l'extérieur de Google Cloud, cette utilisation n'est pas incluse dans l'onglet Suivi de l'utilisation.
  • Par défaut, les informations de suivi de l'utilisation des clés sont fournies au niveau de l'organisation, pour toutes les ressources traçables de l'organisation qui sont protégées par la clé sélectionnée. Toutefois, si vous disposez du rôle Lecteur de ressources protégées Cloud KMS au niveau du projet, mais pas au niveau de l'organisation, le suivi de l'utilisation des clés est fourni au niveau du projet pour les ressources du projet sélectionné qui sont protégées par la clé sélectionnée (Aperçu). Lorsque les données de suivi de l'utilisation des clés sont fournies au niveau du projet, le résultat indique que les données sont limitées au projet sélectionné.
  • Les informations de suivi de l'utilisation des clés ne peuvent être affichées au niveau de l'organisation que si le compte de service Cloud KMS dispose du rôle Agent de service d'organisation Cloud KMS requis dans l'organisation. Si le compte de service ne dispose pas du rôle requis, les données d'utilisation des clés sont limitées au projet sélectionné (Aperçu).
  • Certaines ressources CMEK ne sont pas suivies. Pour les types de ressources qui ne figurent pas dans Types de ressources suivis, les informations sur l'utilisation des clés peuvent ne pas être incluses dans les détails d'utilisation des clés. Par exemple, l'utilisation de clés par Datastream pour chiffrer les ressources ConnectionProfile (datastream.googleapis.com/ConnectionProfile) n'est pas affichée dans l'onglet Suivi de l'utilisation.
  • Les données peuvent être retardées. Par exemple, si vous créez une ressource protégée, la ressource protégée et la version de clé associée ne sont pas immédiatement ajoutées à l'onglet Suivi de l'utilisation.
  • Les données d'utilisation des clés Cloud Storage sont soumises aux limites supplémentaires suivantes :
    • Les données d'utilisation des clés sont agrégées des objets aux buckets. Les noms des objets ne sont pas affichés. Un bucket est indiqué comme utilisant une clé s'il contient au moins un objet utilisant cette clé.
    • Il est possible que le suivi de l'utilisation des clés ne soit pas complet pour les buckets contenant des objets protégés avec plus de 4 000 versions de clés uniques.
  • Les informations de suivi de l'utilisation des clés sont fournies à titre informatif uniquement. Faites votre propre diligence raisonnable en utilisant d'autres sources avant d'apporter des modifications susceptibles d'entraîner des pannes ou une perte de données. Ne désactivez ni ne détruisez les versions de clés en vous basant uniquement sur les informations de suivi de l'utilisation des clés.

Types de ressources suivies

Les types de ressources suivants sont acceptés :

    Service Ressource
    AlloyDB pour PostgreSQL alloydb.googleapis.com/Backup
    AlloyDB pour PostgreSQL alloydb.googleapis.com/Cluster
    Apigee apigee.googleapis.com/Organization
    Apigee apigee.googleapis.com/Instance
    Hub d'API Apigee apihub.googleapis.com/ApiHubInstance
    Artifact Registry artifactregistry.googleapis.com/Repository
    Service Backup and DR backupdr.googleapis.com/BackupVault
    Service Backup and DR backupdr.googleapis.com/Backup
    BigQuery bigquery.googleapis.com/Dataset
    BigQuery bigquery.googleapis.com/Model
    BigQuery bigquery.googleapis.com/Table
    BigQuery bigquerydatatransfer.googleapis.com/TransferConfig
    Bigtable bigtableadmin.googleapis.com/Backup
    Bigtable bigtableadmin.googleapis.com/Cluster
    Bigtable bigtableadmin.googleapis.com/Table
    Cloud Composer composer.googleapis.com/Environment
    Cloud Data Fusion datafusion.googleapis.com/Instance
    API Cloud Healthcare healthcare.googleapis.com/Dataset
    Cloud Logging logging.googleapis.com/LogBucket
    Cloud Run run.googleapis.com/Revision
    Cloud Run Functions cloudfunctions.googleapis.com/CloudFunction
    Cloud Run Functions cloudfunctions.googleapis.com/Function
    Cloud SQL sqladmin.googleapis.com/BackupRun
    Cloud SQL sqladmin.googleapis.com/Instance
    Cloud Storage storage.googleapis.com/Bucket
    Cloud Workstations workstations.googleapis.com/Workstation
    Cloud Workstations workstations.googleapis.com/WorkstationConfig
    Compute Engine compute.googleapis.com/Disk
    Compute Engine compute.googleapis.com/Image
    Compute Engine compute.googleapis.com/MachineImage
    Compute Engine compute.googleapis.com/Snapshot
    Database Migration Service datamigration.googleapis.com/MigrationJob
    Database Migration Service datamigration.googleapis.com/ConnectionProfile
    Dataflow dataflow.googleapis.com/Job
    Dataproc dataproc.googleapis.com/Cluster
    Dataproc dataproc.googleapis.com/Batch
    Dataproc Metastore metastore.googleapis.com/Service
    Datastream datastream.googleapis.com/Stream
    Document AI documentai.googleapis.com/HumanReviewConfig
    Document AI documentai.googleapis.com/Processor
    Document AI documentai.googleapis.com/ProcessorVersion
    Filestore file.googleapis.com/Instance
    Filestore file.googleapis.com/Backup
    Firestore firestore.googleapis.com/Database
    Firestore datastore.googleapis.com/Database
    Gemini Enterprise Enterprise discoveryengine.googleapis.com/DataStore
    Google Cloud Managed Lustre lustre.googleapis.com/Instance
    Google Kubernetes Engine container.googleapis.com/Cluster
    Looker (Google Cloud Core) looker.googleapis.com/Instance
    Memorystore pour Redis redis.googleapis.com/Instance
    Migrate to Virtual Machines vmmigration.googleapis.com/Source
    Pub/Sub pubsub.googleapis.com/Topic
    Secret Manager secretmanager.googleapis.com/Secret
    Secret Manager secretmanager.googleapis.com/SecretVersion
    Secure Source Manager securesourcemanager.googleapis.com/Instance
    Spanner spanner.googleapis.com/Database
    Vertex AI aiplatform.googleapis.com/Dataset
    Vertex AI aiplatform.googleapis.com/Featurestore
    Vertex AI aiplatform.googleapis.com/Tensorboard
    Vertex AI aiplatform.googleapis.com/BatchPredictionJob
    Vertex AI aiplatform.googleapis.com/CustomJob
    Vertex AI aiplatform.googleapis.com/Endpoint
    Vertex AI aiplatform.googleapis.com/Model
    Vertex AI aiplatform.googleapis.com/TrainingPipeline
    Vertex AI aiplatform.googleapis.com/PipelineJob
    Vertex AI aiplatform.googleapis.com/MetadataStore
    Vertex AI Search discoveryengine.googleapis.com/DataStore
    Instances Vertex AI Workbench notebooks.googleapis.com/Instance
    Workflows workflows.googleapis.com/Workflow