Schlüsselnutzung ansehen

Auf dieser Seite erfahren Sie, wie Sie die Google Cloud -Ressourcen in Ihrer Organisation ansehen, die durch Ihre Cloud KMS-Schlüssel geschützt sind. Die Nachverfolgung der Schlüsselnutzung ist in Organisationsressourcen für Organisationen verfügbar, die ein zentralisiertes Schlüsselverwaltungsmodell verwenden. Wenn Sie ein delegiertes Schlüsselverwaltungsmodell verwenden, können Sie die Daten zur Schlüsselnutzung für das ausgewählte Projekt aufrufen (Vorschau).

Informationen zu den Ressourcen, die durch Ihre Schlüssel geschützt werden, können Sie auf zwei Ebenen aufrufen:

  • Zusammenfassung der Schlüsselnutzung: Enthält die Anzahl der geschützten Ressourcen, Projekte und eindeutigen Google Cloud -Produkte, die die einzelnen Schlüssel verwenden. Diese Detailtiefe ist für alle Nutzer mit der Rolle Cloud KMS Viewer für den Schlüssel verfügbar. Der Umfang der Zusammenfassungsdaten zur Schlüsselnutzung, die Sie sehen können, hängt von Ihrem Schlüsselverwaltungsmodell ab.
    • Zentrale Schlüsselverwaltung: Wenn das Cloud KMS-Dienstkonto die Rolle Cloud KMS-Organisationsdienst-Agent für die Organisation hat, können Sie Zusammenfassungsdaten zur Schlüsselnutzung für Ressourcen sehen, die durch den Schlüssel geschützt sind, auch für Ressourcen in einem beliebigen Projekt innerhalb der Organisation.
    • Delegierte Schlüsselverwaltung (Vorabversion): Wenn das Cloud KMS-Dienstkonto nicht die Rolle Cloud KMS Organization Service Agent für die Organisation hat, können Sie nur Zusammenfassungsdaten zur Schlüsselnutzung für Ressourcen im selben Projekt sehen. Wenn Sie nur Daten zur Schlüsselnutzung für dasselbe Projekt aufrufen, wird im Dashboard Nutzungstracking ein Hinweis angezeigt, dass der Umfang der angezeigten Daten auf das ausgewählte Projekt beschränkt ist.
  • Details zur Schlüsselnutzung: Hier werden die Ressourcen aufgeführt, die durch diesen Schlüssel geschützt sind und von ihm abhängen. Der Umfang der Details zur Schlüsselverwendung, die Sie sehen können, hängt von Ihrem Schlüsselverwaltungsmodell ab.
    • Zentrale Schlüsselverwaltung: Wenn Sie die Rolle Cloud KMS Protected Resources Viewer für die Organisation haben und das Cloud KMS-Dienstkonto die Rolle Cloud KMS Organization Service Agent für die Organisation hat, können Sie Details zur Schlüsselnutzung für Ressourcen sehen, die durch den Schlüssel geschützt sind, auch wenn sich die Ressourcen in einem anderen Projekt befinden.
    • Delegierte Schlüsselverwaltung (Vorabversion): Wenn Sie die Rolle Betrachter von geschützten Ressourcen in Cloud KMS für das Projekt, aber nicht für die Organisation haben, können Sie nur Details zur Schlüsselnutzung für Ressourcen im selben Projekt sehen. Wenn Ihre Berechtigungen Sie auf die Anzeige von Ressourcen desselben Projekts beschränken, wird auf dem Dashboard Nutzung verfolgen ein Hinweis angezeigt, der auf den eingeschränkten Umfang der Daten hinweist.

Hinweise

  1. Aktivieren Sie die Cloud KMS Inventory API für das Projekt, für das Sie Daten zur Schlüsselnutzung ansehen möchten.

    API aktivieren

Erforderliche Rollen

Wenn Sie Cloud KMS mit einem zentralen Schlüsselverwaltungsmodell verwenden, müssen Sie dem Cloud KMS-Dienstkonto die erforderlichen Berechtigungen erteilen.

Sowohl für die zentrale als auch für die delegierte Schlüsselverwaltung (Vorabversion) müssen Nutzerkonten, die Daten zur Schlüsselnutzung aufrufen müssen, die erforderlichen Berechtigungen erhalten.

Cloud KMS-Dienstkontorolle

Wenn Sie ein delegiertes Schlüsselverwaltungsmodell verwenden und keine organisationsweiten aggregierten Daten zur Schlüsselnutzung benötigen, fahren Sie mit dem Abschnitt Rollen für Nutzerkonten auf dieser Seite fort.

Damit Ihr Cloud KMS-Dienstkonto die erforderlichen Berechtigungen zum Aktivieren der Schlüsselnutzungsanalyse auf Organisationsebene hat, bitten Sie Ihren Administrator, Ihrem Cloud KMS-Dienstkonto die IAM-Rolle Cloud KMS Organization Service Agent (roles/cloudkms.orgServiceAgent) für Ihre Organisation zu gewähren.

Nutzerkontorollen

Im Dashboard Nutzungstracking werden unterschiedliche Informationen angezeigt, je nachdem, ob Ihr Nutzerkonto die erforderlichen Rollen für das Projekt oder die übergeordnete Organisation hat. Wenn Ihre Organisation ein zentrales Schlüsselverwaltungsmodell verwendet, weisen Sie die folgenden Rollen für die Organisation zu. Wenn Ihre Organisation ein delegiertes Schlüsselverwaltungsmodell verwendet, können Sie die erforderlichen Rollen für das Projekt gewähren, um Details zur Schlüsselnutzung für das ausgewählte Projekt aufzurufen (Vorschau).

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Aufrufen von Informationen zur Schlüsselnutzung benötigen:

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Informationen zur Schlüsselnutzung ansehen

Console

  1. Rufen Sie in der Google Cloud Console die Seite Schlüsselinventar auf.

    Schlüsselinventar aufrufen

  2. Optional: Wenn Sie die Liste der Schlüssel filtern möchten, geben Sie Ihre Suchbegriffe in das Feld Filter filter_list ein und drücken Sie die Eingabetaste. Sie können beispielsweise nach Standort, Schlüsselbund, Status oder anderen Eigenschaften der Schlüssel filtern.

  3. Klicken Sie auf den Namen des Schlüssels, für den Sie Nutzungsinformationen aufrufen möchten.

  4. Klicken Sie auf den Tab Nutzungstracking.

  5. Optional: Wenn Sie die Liste der geschützten Ressourcen filtern möchten, geben Sie Ihre Suchbegriffe in das Feld Filtern filter_list ein und drücken Sie die Eingabetaste.

Für den ausgewählten Schlüssel werden eine Zusammenfassung und Details zur Schlüsselnutzung angezeigt. Wenn Sie und das Cloud KMS-Dienstkonto die erforderlichen Rollen auf Organisationsebene haben, können Sie Details zur Schlüsselnutzung für alle Ressourcen in der Organisation sehen, die durch Schlüssel im ausgewählten Projekt geschützt sind. Wenn Sie die erforderlichen Rollen nur auf Projektebene haben oder das Cloud KMS-Dienstkonto nicht die erforderliche Rolle für die Organisation hat, können Sie Details zur Schlüsselnutzung für alle Ressourcen im ausgewählten Projekt sehen, die durch Schlüssel im selben Projekt geschützt sind (Vorschau). Wenn Sie Details zum selben Projekt aufrufen, wird auf dem Tab Nutzungserfassung ein Hinweis zum Umfang der angezeigten Daten eingeblendet.

gcloud-CLI

Wenn Sie Cloud KMS in der Befehlszeile verwenden möchten, müssen Sie zuerst Google Cloud CLI installieren oder ein Upgrade ausführen.

Verwenden Sie die Methode get-protected-resources-summary, um die Zusammenfassung der Schlüsselnutzung aufzurufen:

gcloud kms inventory get-protected-resources-summary \
    --keyname projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME \

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Projekts, das den Schlüsselbund enthält.
  • LOCATION: der Cloud KMS-Speicherort des Schlüsselbunds.
  • KEY_RING: der Name des Schlüsselbunds, der den Schlüssel enthält
  • KEY_NAME: Der Name des Schlüssels, für den Sie die Zusammenfassung der Nutzung aufrufen möchten.

Mit der Methode search-protected-resources können Sie Details zur Schlüsselnutzung aufrufen:

gcloud kms inventory search-protected-resources \
    --keyname projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME \
    --scope=organizations/ORGANIZATION_ID

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Projekts, das den Schlüsselbund enthält.
  • LOCATION: der Cloud KMS-Speicherort des Schlüsselbunds.
  • KEY_RING: der Name des Schlüsselbunds, der den Schlüssel enthält
  • KEY_NAME: Der Name des Schlüssels, für den Sie Nutzungsdetails aufrufen möchten.
  • ORGANIZATION_ID: die numerische ID Ihrer Organisation.

Standardmäßig werden mit dieser Methode Details zur Schlüsselnutzung für alle Ressourcen in Ihrer Organisation zurückgegeben, die durch den angegebenen Schlüssel geschützt sind. Wenn Sie die Rolle Cloud KMS Protected Resources Viewer auf Projektebene, aber nicht auf Organisationsebene haben oder wenn das Cloud KMS-Dienstkonto nicht die erforderliche Rolle für die Organisation hat, wird in der Ausgabe angegeben, dass die zurückgegebenen Daten auf das ausgewählte Projekt beschränkt sind (Vorschau).

API

In diesen Beispielen wird curl als HTTP-Client verwendet, um die Verwendung der API zu demonstrieren. Weitere Informationen zur Zugriffssteuerung finden Sie unter Auf die Cloud KMS API zugreifen.

Verwenden Sie die Methode cryptoKeys.getProtectedResourcesSummary, um die Zusammenfassung der Schlüsselnutzung aufzurufen:

curl "https://kmsinventory.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/protectedResourcesSummary"
    --request "GET" \
    --header "x-goog-user-project: CALLING_PROJECT_ID"
    --header "Content-Type: application/json" \
    --header "Authorization: Bearer TOKEN"

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Projekts, das den Schlüsselbund enthält.
  • LOCATION: der Cloud KMS-Speicherort des Schlüsselbunds.
  • KEY_RING: der Name des Schlüsselbunds, der den Schlüssel enthält
  • KEY_NAME: Der Name des Schlüssels, für den Sie die Zusammenfassung der Nutzung aufrufen möchten.
  • CALLING_PROJECT_ID: die ID des Projekts, aus dem Sie die Cloud KMS Inventory API aufrufen.

Mit der Methode protectedResources.search können Sie Details zur Schlüsselnutzung aufrufen:

curl "https://kmsinventory.googleapis.com/v1/organizations/ORGANIZATION_ID/protectedResources:search?crypto_key=projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME"
    --request "GET" \
    --header "x-goog-user-project: CALLING_PROJECT_ID"
    --header "Content-Type: application/json" \
    --header "Authorization: Bearer TOKEN"

Ersetzen Sie Folgendes:

  • ORGANIZATION_ID: die numerische ID Ihrer Organisation.
  • PROJECT_ID: die ID des Projekts, das den Schlüsselbund enthält.
  • LOCATION: der Cloud KMS-Speicherort des Schlüsselbunds.
  • KEY_RING: der Name des Schlüsselbunds, der den Schlüssel enthält
  • KEY_NAME: Der Name des Schlüssels, für den Sie Nutzungsdetails aufrufen möchten.
  • CALLING_PROJECT_ID: die ID des Projekts, aus dem Sie die Cloud KMS Inventory API aufrufen.

Standardmäßig werden mit dieser Methode Details zur Schlüsselnutzung für alle Ressourcen in Ihrer Organisation zurückgegeben, die durch den angegebenen Schlüssel geschützt sind. Wenn Sie die Rolle Cloud KMS Protected Resources Viewer auf Projektebene, aber nicht auf Organisationsebene haben oder wenn das Cloud KMS-Dienstkonto nicht die erforderliche Rolle für die Organisation hat, wird in der Ausgabe angegeben, dass die zurückgegebenen Daten auf das ausgewählte Projekt beschränkt sind (Vorschau).

Details zur Schlüsselverwendung

Zu den Nutzungsdetails der geschützten Ressourcen, die mit dem ausgewählten Schlüssel verschlüsselt sind, gehören:

  • Name: Der Name der Google Cloud Ressource, die durch den ausgewählten Schlüssel geschützt wird.
  • Projekt: Der Name des Projekts, das die geschützte Ressource enthält.
  • Crypto-Schlüsselversion: Die Schlüsselversion, die zum Verschlüsseln dieser Ressource verwendet wird. Bei einigen geschützten Ressourcen wird die Version des kryptografischen Schlüssels nicht gemeldet.
  • Cloud-Produkt: Das Google Cloud Produkt, das dieser Ressource zugeordnet ist.
  • Ressourcentyp: Der Typ der geschützten Ressource, z. B. „Bucket“ (Cloud Storage) oder „Disk“ (Compute Engine).
  • Standort: Die Google Cloud Region, die der Ressource zugeordnet ist.
  • Erstellungsdatum: Der Zeitpunkt, zu dem die Ressource erstellt wurde.
  • Labels: Eine Reihe von Schlüssel/Wert-Paaren, die der Ressource zugeordnet sind.

Schlüsselversionen auflisten, die eine Ressource schützen

Wenn eine Ressource durch mehrere Schlüsselversionen geschützt ist, wird auf dem Tab Nutzungsanalyse möglicherweise nicht die vollständige Liste der Schlüsselversionen angezeigt.

Wenn Sie die Schlüsselversionen auflisten möchten, mit denen eine Ressource geschützt wird, führen Sie den folgenden Befehl mit der gcloud CLI aus:

gcloud beta kms inventory search-protected-resources \
  --keyname=KEY_NAME \
  --scope=organizations/ORGANIZATION_ID \
  --filter="name:RESOURCE_NAME" \
  --flatten="cryptoKeyVersions" \
  --format="value(cryptoKeyVersions)"

Ersetzen Sie Folgendes:

  • KEY_NAME: Der Name des Schlüssels, für den Sie Schlüsselversionen auflisten möchten.
  • ORGANIZATION_ID: die numerische ID Ihrer Organisation.
  • RESOURCE_NAME: Der Name der Ressource, für die Sie Schlüsselversionen auflisten möchten.

Beschränkungen

Beachten Sie bei der Verwendung des Trackings der Schlüsselnutzung Folgendes:

  • Die Nachverfolgung der Schlüsselnutzung ist nur für die Nutzung von CMEK-Schlüsseln verfügbar. Wenn Sie eine Schlüsselversion in Ihren Anwendungen innerhalb oder außerhalb von Google Cloudverwenden, wird diese Nutzung nicht auf dem Tab Nutzungstracking berücksichtigt.
  • Standardmäßig werden Informationen zur Schlüsselnutzung auf Organisationsebene für alle nachverfolgbaren Ressourcen in der Organisation bereitgestellt, die durch den ausgewählten Schlüssel geschützt sind. Wenn Sie jedoch die Rolle Betrachter von geschützten Ressourcen in Cloud KMS für das Projekt, aber nicht für die Organisation haben, wird das Tracking der Schlüsselnutzung auf Projektebene für Ressourcen im ausgewählten Projekt bereitgestellt, die durch den ausgewählten Schlüssel geschützt sind (Vorschau). Wenn Daten zur Schlüsselnutzung auf Projektebene angegeben werden, wird in der Ausgabe darauf hingewiesen, dass die Daten auf das ausgewählte Projekt beschränkt sind.
  • Informationen zur Schlüsselnutzung können nur auf Organisationsebene angezeigt werden, wenn das Cloud KMS-Dienstkonto die erforderliche Rolle Cloud KMS Organization Service Agent für die Organisation hat. Wenn das Dienstkonto nicht die erforderliche Rolle hat, werden die Daten zur Schlüsselnutzung stattdessen auf das ausgewählte Projekt beschränkt (Vorschau).
  • Einige CMEK-Ressourcen werden nicht erfasst. Bei Ressourcentypen, die nicht in Nachverfolgte Ressourcentypen aufgeführt sind, sind Informationen zur Schlüsselnutzung möglicherweise nicht in den Details zur Schlüsselnutzung enthalten. Die Schlüsselnutzung durch Datastream zum Verschlüsseln von ConnectionProfile-Ressourcen (datastream.googleapis.com/ConnectionProfile) wird beispielsweise nicht auf dem Tab Nutzungstracking angezeigt.
  • Die Daten sind möglicherweise erst später verfügbar. Wenn Sie beispielsweise eine neue geschützte Ressource erstellen, werden die geschützte Ressource und die zugehörige Schlüsselversion nicht sofort auf dem Tab Nutzungsanalyse angezeigt.
  • Für Cloud Storage-Schlüsselnutzungsdaten gelten die folgenden zusätzlichen Einschränkungen:
    • Daten zur Schlüsselnutzung werden von Objekten zu Buckets zusammengefasst. Objektnamen werden nicht angezeigt. Ein Bucket wird als Bucket angezeigt, der einen Schlüssel verwendet, wenn er mindestens ein Objekt enthält, das diesen Schlüssel verwendet.
    • Die Schlüsselverwendungsanalyse ist möglicherweise nicht vollständig für Buckets, die Objekte mit mehr als 4.000 eindeutigen Schlüsselversionen enthalten.
  • Details zum Tracking der Schlüsselnutzung dienen nur zu Informationszwecken. Führen Sie Ihre eigene Due Diligence mit anderen Quellen durch, bevor Sie Änderungen vornehmen, die zu Ausfällen oder Datenverlust führen könnten. Deaktivieren oder löschen Sie Schlüsselversionen nicht nur anhand von Informationen zur Schlüsselnutzung.

Erfasste Ressourcentypen

Die folgenden Ressourcentypen werden unterstützt:

    Dienst Ressource
    AlloyDB for PostgreSQL alloydb.googleapis.com/Backup
    AlloyDB for PostgreSQL alloydb.googleapis.com/Cluster
    Apigee apigee.googleapis.com/Organization
    Apigee apigee.googleapis.com/Instance
    Apigee API-Hub apihub.googleapis.com/ApiHubInstance
    Artifact Registry artifactregistry.googleapis.com/Repository
    Sicherung und Notfallwiederherstellung backupdr.googleapis.com/BackupVault
    Sicherung und Notfallwiederherstellung backupdr.googleapis.com/Backup
    BigQuery bigquery.googleapis.com/Dataset
    BigQuery bigquery.googleapis.com/Model
    BigQuery bigquery.googleapis.com/Table
    BigQuery bigquerydatatransfer.googleapis.com/TransferConfig
    Bigtable bigtableadmin.googleapis.com/Backup
    Bigtable bigtableadmin.googleapis.com/Cluster
    Bigtable bigtableadmin.googleapis.com/Table
    Cloud Composer composer.googleapis.com/Environment
    Cloud Data Fusion datafusion.googleapis.com/Instance
    Cloud Healthcare API healthcare.googleapis.com/Dataset
    Cloud Logging logging.googleapis.com/LogBucket
    Cloud Run run.googleapis.com/Revision
    Cloud Run-Funktionen cloudfunctions.googleapis.com/CloudFunction
    Cloud Run-Funktionen cloudfunctions.googleapis.com/Function
    Cloud SQL sqladmin.googleapis.com/BackupRun
    Cloud SQL sqladmin.googleapis.com/Instance
    Cloud Storage storage.googleapis.com/Bucket
    Cloud Workstations workstations.googleapis.com/Workstation
    Cloud Workstations workstations.googleapis.com/WorkstationConfig
    Compute Engine compute.googleapis.com/Disk
    Compute Engine compute.googleapis.com/Image
    Compute Engine compute.googleapis.com/MachineImage
    Compute Engine compute.googleapis.com/Snapshot
    Database Migration Service datamigration.googleapis.com/MigrationJob
    Database Migration Service datamigration.googleapis.com/ConnectionProfile
    Dataflow dataflow.googleapis.com/Job
    Dataproc dataproc.googleapis.com/Cluster
    Dataproc dataproc.googleapis.com/Batch
    Dataproc Metastore metastore.googleapis.com/Service
    Datastream datastream.googleapis.com/Stream
    Document AI documentai.googleapis.com/HumanReviewConfig
    Document AI documentai.googleapis.com/Processor
    Document AI documentai.googleapis.com/ProcessorVersion
    Filestore file.googleapis.com/Instance
    Filestore file.googleapis.com/Backup
    Firestore firestore.googleapis.com/Database
    Firestore datastore.googleapis.com/Database
    Gemini Enterprise Enterprise discoveryengine.googleapis.com/DataStore
    Google Cloud Managed Lustre lustre.googleapis.com/Instance
    Google Kubernetes Engine container.googleapis.com/Cluster
    Looker (Google Cloud Core) looker.googleapis.com/Instance
    Memorystore for Redis redis.googleapis.com/Instance
    Migrate to Virtual Machines vmmigration.googleapis.com/Source
    Pub/Sub pubsub.googleapis.com/Topic
    Secret Manager secretmanager.googleapis.com/Secret
    Secret Manager secretmanager.googleapis.com/SecretVersion
    Secure Source Manager securesourcemanager.googleapis.com/Instance
    Spanner spanner.googleapis.com/Database
    Vertex AI aiplatform.googleapis.com/Dataset
    Vertex AI aiplatform.googleapis.com/Featurestore
    Vertex AI aiplatform.googleapis.com/Tensorboard
    Vertex AI aiplatform.googleapis.com/BatchPredictionJob
    Vertex AI aiplatform.googleapis.com/CustomJob
    Vertex AI aiplatform.googleapis.com/Endpoint
    Vertex AI aiplatform.googleapis.com/Model
    Vertex AI aiplatform.googleapis.com/TrainingPipeline
    Vertex AI aiplatform.googleapis.com/PipelineJob
    Vertex AI aiplatform.googleapis.com/MetadataStore
    Vertex AI Search discoveryengine.googleapis.com/DataStore
    Vertex AI Workbench-Instanzen notebooks.googleapis.com/Instance
    Workflows workflows.googleapis.com/Workflow