Melihat penggunaan kunci

Halaman ini menunjukkan cara melihat Google Cloud resource dalam organisasi Anda yang dilindungi oleh kunci Cloud KMS Anda. Pelacakan penggunaan kunci tersedia dalam resource organisasi untuk organisasi yang menggunakan model pengelolaan kunci terpusat. Jika Anda menggunakan model pengelolaan kunci yang didelegasikan, Anda dapat melihat data pelacakan penggunaan kunci yang dicakup ke project yang dipilih (Pratinjau).

Anda dapat melihat informasi tentang resource yang dilindungi kunci Anda di dua tingkat:

  • Ringkasan penggunaan kunci: Mencakup jumlah resource yang dilindungi, project, dan produk unik Google Cloud yang menggunakan setiap kunci. Tingkat detail ini tersedia bagi siapa saja yang memiliki peran Cloud KMS Viewer pada kunci. Cakupan data ringkasan penggunaan kunci yang dapat Anda lihat bergantung pada model pengelolaan kunci Anda.
    • Pengelolaan kunci terpusat: Jika akun layanan Cloud KMS memiliki peran Cloud KMS Organization Service Agent di organisasi, Anda dapat melihat data ringkasan penggunaan kunci untuk resource yang dilindungi oleh kunci tersebut, bahkan untuk resource di project mana pun dalam organisasi.
    • Pengelolaan kunci yang didelegasikan (Pratinjau): Jika akun layanan Cloud KMS tidak memiliki peran Agen Layanan Organisasi Cloud KMS di organisasi, Anda hanya dapat melihat data ringkasan penggunaan kunci untuk resource dalam project yang sama. Jika Anda hanya melihat data penggunaan kunci dalam project yang sama, dasbor Pelacakan penggunaan akan menampilkan pemberitahuan yang memberi tahu Anda bahwa cakupan data yang ditampilkan terbatas pada project yang dipilih.
  • Detail penggunaan kunci: Mencantumkan resource yang dilindungi oleh dan bergantung pada kunci ini. Cakupan detail penggunaan kunci yang dapat Anda lihat bergantung pada model pengelolaan kunci Anda.
    • Pengelolaan kunci terpusat: Jika Anda memiliki peran Cloud KMS Protected Resources Viewer di organisasi dan akun layanan Cloud KMS memiliki peran Cloud KMS Organization Service Agent di organisasi, Anda dapat melihat detail penggunaan kunci untuk resource yang dilindungi oleh kunci tersebut, bahkan untuk resource yang berada di project lain.
    • Pengelolaan kunci yang didelegasikan (Pratinjau): Jika Anda memiliki peran Cloud KMS Protected Resources Viewer di project, tetapi tidak di organisasi, Anda hanya dapat melihat detail penggunaan kunci untuk resource di project yang sama. Jika izin Anda membatasi Anda untuk melihat resource dalam project yang sama, dasbor Pelacakan penggunaan akan menampilkan pemberitahuan yang menunjukkan cakupan data yang terbatas.

Sebelum memulai

  1. Aktifkan Cloud KMS Inventory API di project yang ingin Anda gunakan untuk melihat data penggunaan kunci.

    Mengaktifkan API

Peran yang diperlukan

Jika Anda menggunakan Cloud KMS dengan model pengelolaan kunci terpusat, Anda harus memberikan izin yang diperlukan ke akun layanan Cloud KMS.

Untuk pengelolaan kunci terpusat dan pengelolaan kunci yang didelegasikan (Pratinjau), akun pengguna yang perlu melihat data penggunaan kunci harus diberi izin yang diperlukan.

Peran akun layanan Cloud KMS

Jika Anda menggunakan model pengelolaan kunci yang didelegasikan dan tidak perlu melihat data penggunaan kunci yang digabungkan di seluruh organisasi, lanjutkan ke bagian Peran akun pengguna di halaman ini.

Untuk memastikan akun layanan Cloud KMS Anda memiliki izin yang diperlukan untuk mengaktifkan pelacakan penggunaan kunci di tingkat organisasi, minta administrator Anda untuk memberikan peran IAM Cloud KMS Organization Service Agent (roles/cloudkms.orgServiceAgent) kepada akun layanan Cloud KMS Anda di organisasi Anda.

Peran akun pengguna

Dasbor Pelacakan penggunaan menampilkan informasi yang berbeda, bergantung pada apakah akun pengguna Anda memiliki peran yang diperlukan di project atau di organisasi induk. Jika organisasi Anda menggunakan model pengelolaan kunci terpusat, berikan peran berikut di organisasi. Jika organisasi Anda menggunakan model pengelolaan kunci yang didelegasikan, Anda dapat memberikan peran yang diperlukan di project untuk melihat detail penggunaan kunci yang dicakup ke project yang dipilih (Pratinjau).

Untuk mendapatkan izin yang Anda perlukan untuk melihat informasi penggunaan kunci, minta administrator untuk memberi Anda peran IAM berikut :

Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Melihat informasi penggunaan kunci

Konsol

  1. Di konsol Google Cloud , buka halaman Key inventory.

    Buka Inventaris utama

  2. Opsional: Untuk memfilter daftar kunci, masukkan istilah penelusuran Anda di kotak filter_list Filter, lalu tekan enter. Misalnya, Anda dapat memfilter menurut lokasi, dering, status, atau properti kunci lainnya.

  3. Klik nama kunci yang ingin Anda lihat informasi penggunaannya.

  4. Klik tab Pelacakan penggunaan.

  5. Opsional: Untuk memfilter daftar resource yang dilindungi, masukkan istilah penelusuran di kotak filter_list Filter, lalu tekan Enter.

Ringkasan dan detail penggunaan kunci ditampilkan untuk kunci yang dipilih. Jika Anda dan akun layanan Cloud KMS memiliki peran yang diperlukan di tingkat organisasi, Anda dapat melihat detail penggunaan kunci untuk semua resource dalam organisasi yang dilindungi oleh kunci dalam project yang dipilih. Jika Anda memiliki peran yang diperlukan hanya di tingkat project, atau jika akun layanan Cloud KMS tidak memiliki peran yang diperlukan di organisasi, Anda dapat melihat detail penggunaan kunci untuk semua resource dalam project yang dipilih yang dilindungi oleh kunci dalam project yang sama (Pratinjau). Jika Anda melihat detail project yang sama, pemberitahuan akan ditampilkan di tab Pelacakan penggunaan yang memberi tahu Anda cakupan data yang ditampilkan.

gcloud CLI

Untuk menggunakan Cloud KMS di command line, Instal atau upgrade ke versi terbaru Google Cloud CLI terlebih dahulu.

Untuk melihat ringkasan penggunaan kunci, gunakan metode get-protected-resources-summary:

gcloud kms inventory get-protected-resources-summary \
    --keyname projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME \

Ganti kode berikut:

  • PROJECT_ID: ID project yang berisi key ring.
  • LOCATION: lokasi Cloud KMS key ring.
  • KEY_RING: nama key ring yang berisi kunci.
  • KEY_NAME: nama kunci yang ringkasan penggunaannya ingin Anda lihat.

Untuk melihat detail penggunaan kunci, gunakan metode search-protected-resources:

gcloud kms inventory search-protected-resources \
    --keyname projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME \
    --scope=organizations/ORGANIZATION_ID

Ganti kode berikut:

  • PROJECT_ID: ID project yang berisi key ring.
  • LOCATION: lokasi Cloud KMS key ring.
  • KEY_RING: nama key ring yang berisi kunci.
  • KEY_NAME: nama kunci yang ingin Anda lihat detail penggunaannya.
  • ORGANIZATION_ID: ID numerik organisasi Anda.

Secara default, metode ini menampilkan detail penggunaan kunci untuk semua resource di organisasi Anda yang dilindungi oleh kunci yang ditunjukkan. Jika Anda memiliki peran Cloud KMS Protected Resources Viewer di tingkat project, tetapi tidak di tingkat organisasi, atau jika akun layanan Cloud KMS tidak memiliki peran yang diperlukan di organisasi, maka output menunjukkan bahwa data yang ditampilkan dicakup ke project yang dipilih (Pratinjau).

API

Contoh ini menggunakan curl sebagai klien HTTP untuk menunjukkan penggunaan API. Untuk mengetahui informasi selengkapnya tentang kontrol akses, lihat Mengakses Cloud KMS API.

Untuk melihat ringkasan penggunaan kunci, gunakan metode cryptoKeys.getProtectedResourcesSummary:

curl "https://kmsinventory.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/protectedResourcesSummary"
    --request "GET" \
    --header "x-goog-user-project: CALLING_PROJECT_ID"
    --header "Content-Type: application/json" \
    --header "Authorization: Bearer TOKEN"

Ganti kode berikut:

  • PROJECT_ID: ID project yang berisi key ring.
  • LOCATION: lokasi Cloud KMS key ring.
  • KEY_RING: nama key ring yang berisi kunci.
  • KEY_NAME: nama kunci yang ringkasan penggunaannya ingin Anda lihat.
  • CALLING_PROJECT_ID: ID project tempat Anda memanggil Cloud KMS Inventory API.

Untuk melihat detail penggunaan kunci, gunakan metode protectedResources.search:

curl "https://kmsinventory.googleapis.com/v1/organizations/ORGANIZATION_ID/protectedResources:search?crypto_key=projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME"
    --request "GET" \
    --header "x-goog-user-project: CALLING_PROJECT_ID"
    --header "Content-Type: application/json" \
    --header "Authorization: Bearer TOKEN"

Ganti kode berikut:

  • ORGANIZATION_ID: ID numerik organisasi Anda.
  • PROJECT_ID: ID project yang berisi key ring.
  • LOCATION: lokasi Cloud KMS key ring.
  • KEY_RING: nama key ring yang berisi kunci.
  • KEY_NAME: nama kunci yang ingin Anda lihat detail penggunaannya.
  • CALLING_PROJECT_ID: ID project tempat Anda memanggil Cloud KMS Inventory API.

Secara default, metode ini menampilkan detail penggunaan kunci untuk semua resource di organisasi Anda yang dilindungi oleh kunci yang ditunjukkan. Jika Anda memiliki peran Cloud KMS Protected Resources Viewer di tingkat project, tetapi tidak di tingkat organisasi, atau jika akun layanan Cloud KMS tidak memiliki peran yang diperlukan di organisasi, maka output menunjukkan bahwa data yang ditampilkan dicakup ke project yang dipilih (Pratinjau).

Detail penggunaan kunci

Detail penggunaan tentang resource yang dilindungi yang dienkripsi dengan kunci yang dipilih mencakup hal berikut:

  • Name: Nama resource Google Cloud yang dilindungi oleh kunci yang dipilih.
  • Project: Nama project yang berisi resource yang dilindungi.
  • Versi kunci kriptografis: Versi kunci yang digunakan untuk mengenkripsi resource ini. Beberapa resource yang dilindungi tidak melaporkan versi kunci kriptografis.
  • Produk cloud: Google Cloud Produk yang terkait dengan resource ini.
  • Jenis resource: Jenis resource yang dilindungi, misalnya Bucket (Cloud Storage) atau Disk (Compute Engine).
  • Lokasi: Google Cloud Wilayah yang terkait dengan resource.
  • Tanggal pembuatan: Waktu saat resource dibuat.
  • Label: Kumpulan key-value pair yang terkait dengan resource.

Mencantumkan versi kunci yang melindungi resource

Jika resource dilindungi oleh beberapa versi kunci, Anda mungkin tidak dapat melihat daftar lengkap versi kunci di tab Pelacakan penggunaan.

Untuk mencantumkan versi kunci yang melindungi resource, gunakan gcloud CLI untuk menjalankan perintah berikut:

gcloud beta kms inventory search-protected-resources \
  --keyname=KEY_NAME \
  --scope=organizations/ORGANIZATION_ID \
  --filter="name:RESOURCE_NAME" \
  --flatten="cryptoKeyVersions" \
  --format="value(cryptoKeyVersions)"

Ganti kode berikut:

  • KEY_NAME: nama kunci yang versi kuncinya ingin Anda cantumkan.
  • ORGANIZATION_ID: ID numerik organisasi Anda.
  • RESOURCE_NAME: nama resource yang versi kuncinya ingin Anda cantumkan.

Batasan

Saat menggunakan pelacakan penggunaan kunci, perhatikan hal-hal berikut:

  • Pelacakan penggunaan kunci hanya tersedia untuk penggunaan kunci CMEK. Jika Anda menggunakan versi kunci di aplikasi Anda di dalam atau di luar Google Cloud, penggunaan tersebut tidak disertakan dalam tab Pelacakan penggunaan.
  • Secara default, informasi pelacakan penggunaan kunci diberikan di tingkat organisasi, untuk semua resource yang dapat dilacak dalam organisasi yang dilindungi oleh kunci yang dipilih. Namun, jika Anda memiliki Cloud KMS Protected Resources Viewer di project, tetapi tidak di organisasi, pelacakan penggunaan kunci akan diberikan di tingkat project untuk resource dalam project yang dipilih yang dilindungi oleh kunci yang dipilih (Pratinjau). Jika data pelacakan penggunaan kunci diberikan di tingkat project, output menunjukkan bahwa data dicakup ke project yang dipilih.
  • Informasi pelacakan penggunaan kunci hanya dapat ditampilkan di tingkat organisasi jika akun layanan Cloud KMS memiliki peran Cloud KMS Organization Service Agent yang diperlukan di organisasi. Jika akun layanan tidak memiliki peran yang diperlukan, data penggunaan kunci akan dicakup ke project yang dipilih (Pratinjau).
  • Beberapa resource CMEK tidak dilacak. Untuk jenis resource yang tidak tercantum di Jenis resource yang dilacak, informasi penggunaan kunci mungkin tidak disertakan dalam detail penggunaan kunci. Misalnya, penggunaan kunci oleh Datastream untuk mengenkripsi resource ConnectionProfile (datastream.googleapis.com/ConnectionProfile) tidak ditampilkan di tab Pelacakan penggunaan.
  • Data mungkin tertunda. Misalnya, jika Anda membuat resource yang dilindungi baru, resource yang dilindungi dan versi kunci terkait tidak akan langsung ditambahkan ke tab Pelacakan penggunaan.
  • Data penggunaan kunci Cloud Storage tunduk pada batasan tambahan berikut:
    • Data penggunaan kunci digabungkan dari objek ke bucket. Nama objek tidak ditampilkan. Bucket akan ditampilkan sebagai menggunakan kunci jika bucket memiliki setidaknya satu objek yang menggunakan kunci tersebut.
    • Pelacakan penggunaan kunci mungkin tidak lengkap untuk bucket yang berisi objek yang dilindungi dengan lebih dari 4.000 versi kunci unik.
  • Detail pelacakan penggunaan kunci hanya untuk tujuan informasi. Lakukan uji tuntas Anda sendiri menggunakan sumber lain sebelum melakukan perubahan yang dapat menyebabkan gangguan atau kehilangan data. Jangan menonaktifkan atau menghancurkan versi kunci hanya berdasarkan informasi pelacakan penggunaan kunci.

Jenis resource yang dilacak

Jenis resource berikut ini didukung:

    Layanan Resource
    AlloyDB untuk PostgreSQL alloydb.googleapis.com/Backup
    AlloyDB untuk PostgreSQL alloydb.googleapis.com/Cluster
    Apigee apigee.googleapis.com/Organization
    Apigee apigee.googleapis.com/Instance
    Hub API Apigee apihub.googleapis.com/ApiHubInstance
    Artifact Registry artifactregistry.googleapis.com/Repository
    Backup and DR Service backupdr.googleapis.com/BackupVault
    Backup and DR Service backupdr.googleapis.com/Backup
    BigQuery bigquery.googleapis.com/Dataset
    BigQuery bigquery.googleapis.com/Model
    BigQuery bigquery.googleapis.com/Table
    BigQuery bigquerydatatransfer.googleapis.com/TransferConfig
    Bigtable bigtableadmin.googleapis.com/Backup
    Bigtable bigtableadmin.googleapis.com/Cluster
    Bigtable bigtableadmin.googleapis.com/Table
    Cloud Composer composer.googleapis.com/Environment
    Cloud Data Fusion datafusion.googleapis.com/Instance
    Cloud Healthcare API healthcare.googleapis.com/Dataset
    Cloud Logging logging.googleapis.com/LogBucket
    Cloud Run run.googleapis.com/Revision
    Cloud Run Functions cloudfunctions.googleapis.com/CloudFunction
    Cloud Run Functions cloudfunctions.googleapis.com/Function
    Cloud SQL sqladmin.googleapis.com/BackupRun
    Cloud SQL sqladmin.googleapis.com/Instance
    Cloud Storage storage.googleapis.com/Bucket
    Cloud Workstations workstations.googleapis.com/Workstation
    Cloud Workstations workstations.googleapis.com/WorkstationConfig
    Compute Engine compute.googleapis.com/Disk
    Compute Engine compute.googleapis.com/Image
    Compute Engine compute.googleapis.com/MachineImage
    Compute Engine compute.googleapis.com/Snapshot
    Database Migration Service datamigration.googleapis.com/MigrationJob
    Database Migration Service datamigration.googleapis.com/ConnectionProfile
    Dataflow dataflow.googleapis.com/Job
    Dataproc dataproc.googleapis.com/Cluster
    Dataproc dataproc.googleapis.com/Batch
    Dataproc Metastore metastore.googleapis.com/Service
    Datastream datastream.googleapis.com/Stream
    Document AI documentai.googleapis.com/HumanReviewConfig
    Document AI documentai.googleapis.com/Processor
    Document AI documentai.googleapis.com/ProcessorVersion
    Filestore file.googleapis.com/Instance
    Filestore file.googleapis.com/Backup
    Firestore firestore.googleapis.com/Database
    Firestore datastore.googleapis.com/Database
    Gemini Enterprise Enterprise discoveryengine.googleapis.com/DataStore
    Google Cloud Managed Lustre lustre.googleapis.com/Instance
    Google Kubernetes Engine container.googleapis.com/Cluster
    Looker (Google Cloud core) looker.googleapis.com/Instance
    Memorystore for Redis redis.googleapis.com/Instance
    Migrate to Virtual Machines vmmigration.googleapis.com/Source
    Pub/Sub pubsub.googleapis.com/Topic
    Secret Manager secretmanager.googleapis.com/Secret
    Secret Manager secretmanager.googleapis.com/SecretVersion
    Secure Source Manager securesourcemanager.googleapis.com/Instance
    Spanner spanner.googleapis.com/Database
    Vertex AI aiplatform.googleapis.com/Dataset
    Vertex AI aiplatform.googleapis.com/Featurestore
    Vertex AI aiplatform.googleapis.com/Tensorboard
    Vertex AI aiplatform.googleapis.com/BatchPredictionJob
    Vertex AI aiplatform.googleapis.com/CustomJob
    Vertex AI aiplatform.googleapis.com/Endpoint
    Vertex AI aiplatform.googleapis.com/Model
    Vertex AI aiplatform.googleapis.com/TrainingPipeline
    Vertex AI aiplatform.googleapis.com/PipelineJob
    Vertex AI aiplatform.googleapis.com/MetadataStore
    Vertex AI Search discoveryengine.googleapis.com/DataStore
    Instance Vertex AI Workbench notebooks.googleapis.com/Instance
    Workflows workflows.googleapis.com/Workflow