Visualizza utilizzo delle chiavi

Questa pagina mostra come visualizzare le risorse Google Cloud all'interno della tua organizzazione protette dalle tue chiavi Cloud KMS. Il monitoraggio dell'utilizzo delle chiavi è disponibile all'interno delle risorse dell'organizzazione per le organizzazioni che utilizzano un modello di gestione delle chiavi centralizzato. Se utilizzi un modello di gestione delle chiavi delegata, puoi visualizzare i dati di monitoraggio dell'utilizzo delle chiavi limitati al progetto selezionato (Anteprima).

Puoi visualizzare le informazioni sulle risorse protette dalle tue chiavi a due livelli:

  • Riepilogo dell'utilizzo delle chiavi: include il numero di risorse protette, progetti e prodotti Google Cloud unici che utilizzano ogni chiave. Questo livello di dettaglio è disponibile per chiunque abbia il ruolo Visualizzatore Cloud KMS sulla chiave. L'ambito dei dati del riepilogo dell'utilizzo delle chiavi che puoi visualizzare dipende dal tuo modello di gestione delle chiavi.
    • Gestione centralizzata delle chiavi: se il service account Cloud KMS dispone del ruolo Cloud KMS Organization Service Agent nell'organizzazione, puoi visualizzare i dati di riepilogo sull'utilizzo delle chiavi per le risorse protette dalla chiave anche per le risorse in qualsiasi progetto all'interno dell'organizzazione.
    • Gestione delegata delle chiavi (anteprima): se il account di servizio Cloud KMS non dispone del ruolo Cloud KMS Organization Service Agent nell'organizzazione, puoi visualizzare i dati di riepilogo sull'utilizzo delle chiavi solo per le risorse nello stesso progetto. Se visualizzi solo i dati di utilizzo delle chiavi dello stesso progetto, la dashboard Monitoraggio dell'utilizzo mostra un avviso che indica che l'ambito dei dati visualizzati è limitato al progetto selezionato.
  • Dettagli sull'utilizzo della chiave: elenca le risorse protette da e che dipendono da questa chiave. L'ambito dei dettagli sull'utilizzo della chiave che puoi visualizzare dipende dal tuo modello di gestione delle chiavi.
    • Gestione centralizzata delle chiavi: se disponi del ruolo Visualizzatore risorse protette Cloud KMS nell'organizzazione e il account di servizio Cloud KMS dispone del ruolo Agente di servizio dell'organizzazione Cloud KMS nell'organizzazione, puoi visualizzare i dettagli sull'utilizzo delle chiavi per le risorse protette dalla chiave anche per le risorse che si trovano in un altro progetto.
    • Gestione delle chiavi delegata (anteprima): se disponi del ruolo Cloud KMS Protected Resources Viewer per il progetto, ma non per l'organizzazione, puoi visualizzare i dettagli sull'utilizzo delle chiavi solo per le risorse dello stesso progetto. Se le tue autorizzazioni ti consentono di visualizzare solo le risorse dello stesso progetto, la dashboard Monitoraggio dell'utilizzo mostra un avviso che indica l'ambito limitato dei dati.

Prima di iniziare

  1. Attiva l'API Cloud KMS Inventory nel progetto per cui vuoi visualizzare i dati di utilizzo delle chiavi.

    Abilitare l'API

Ruoli obbligatori

Se utilizzi Cloud KMS con un modello di gestione delle chiavi centralizzato, devi concedere le autorizzazioni richieste all'account di servizio Cloud KMS.

Per la gestione centralizzata delle chiavi e la gestione delegata delle chiavi (anteprima), agli account utente che devono visualizzare i dati di utilizzo delle chiavi devono essere concesse le autorizzazioni richieste.

Ruolo del account di servizio Cloud KMS

Se utilizzi un modello di gestione delle chiavi delegata e non hai bisogno di visualizzare i dati sull'utilizzo delle chiavi aggregati nella tua organizzazione, vai alla sezione Ruoli dell'account utente di questa pagina.

Per assicurarti che il tuo account di servizio Cloud KMS disponga delle autorizzazioni necessarie per attivare il monitoraggio dell'utilizzo delle chiavi a livello di organizzazione, chiedi all'amministratore di concedere al tuo account di servizio Cloud KMS il ruolo IAM Cloud KMS Organization Service Agent (roles/cloudkms.orgServiceAgent) nella tua organizzazione.

Ruoli account utente

La dashboard Monitoraggio dell'utilizzo mostra informazioni diverse a seconda che il tuo account utente disponga dei ruoli richiesti nel progetto o nell'organizzazione principale. Se la tua organizzazione utilizza un modello di gestione delle chiavi centralizzato, concedi i seguenti ruoli all'organizzazione. Se la tua organizzazione utilizza un modello di gestione delle chiavi delegata, puoi concedere i ruoli richiesti nel progetto per visualizzare i dettagli sull'utilizzo delle chiavi limitati al progetto selezionato (anteprima).

Per ottenere le autorizzazioni necessarie per visualizzare le informazioni sull'utilizzo delle chiavi, chiedi all'amministratore di concederti i seguenti ruoli IAM:

Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Visualizzare le informazioni sull'utilizzo delle chiavi

Console

  1. Nella console Google Cloud , vai alla pagina Inventario chiavi.

    Vai all'inventario delle chiavi

  2. (Facoltativo) Per filtrare l'elenco delle chiavi, inserisci i termini di ricerca nella casella filter_list Filtro e poi premi Invio. Ad esempio, puoi filtrare per posizione, portachiavi, stato o altre proprietà delle chiavi.

  3. Fai clic sul nome della chiave per cui vuoi visualizzare le informazioni sull'utilizzo.

  4. Fai clic sulla scheda Monitoraggio dell'utilizzo.

  5. (Facoltativo) Per filtrare l'elenco delle risorse protette, inserisci i termini di ricerca nella casella filter_list Filtro e poi premi Invio.

Vengono visualizzati il riepilogo e i dettagli dell'utilizzo della chiave selezionata. Se tu e il account di servizio Cloud KMS disponete dei ruoli richiesti a livello di organizzazione, potete visualizzare i dettagli sull'utilizzo delle chiavi per tutte le risorse dell'organizzazione protette da chiavi nel progetto selezionato. Se disponi dei ruoli richiesti solo a livello di progetto o se il account di servizio Cloud KMS non dispone del ruolo richiesto nell'organizzazione, puoi visualizzare i dettagli sull'utilizzo delle chiavi per tutte le risorse del progetto selezionato protette da chiavi nello stesso progetto (Anteprima). Se visualizzi i dettagli dello stesso progetto, nella scheda Monitoraggio dell'utilizzo viene visualizzato un avviso che indica l'ambito dei dati visualizzati.

Interfaccia a riga di comando gcloud

Per utilizzare Cloud KMS dalla riga di comando, devi prima installare o eseguire l'upgrade all'ultima versione di Google Cloud CLI.

Per visualizzare il riepilogo dell'utilizzo delle chiavi, utilizza il metodo get-protected-resources-summary:

gcloud kms inventory get-protected-resources-summary \
    --keyname projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME \

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto che contiene le chiavi automatizzate.
  • LOCATION: la posizione di Cloud KMS delle chiavi automatizzate.
  • KEY_RING: il nome delle chiavi automatizzate che contengono la chiave.
  • KEY_NAME: il nome della chiave per cui vuoi visualizzare il riepilogo dell'utilizzo.

Per visualizzare i dettagli sull'utilizzo delle chiavi, utilizza il metodo search-protected-resources:

gcloud kms inventory search-protected-resources \
    --keyname projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME \
    --scope=organizations/ORGANIZATION_ID

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto che contiene le chiavi automatizzate.
  • LOCATION: la posizione di Cloud KMS delle chiavi automatizzate.
  • KEY_RING: il nome delle chiavi automatizzate che contengono la chiave.
  • KEY_NAME: il nome della chiave per cui vuoi visualizzare i dettagli di utilizzo.
  • ORGANIZATION_ID: l'ID numerico della tua organizzazione.

Per impostazione predefinita, questo metodo restituisce i dettagli sull'utilizzo della chiave per tutte le risorse della tua organizzazione protette dalla chiave indicata. Se disponi del ruolo Visualizzatore risorse protette Cloud KMS a livello di progetto, ma non a livello di organizzazione, o se il account di servizio Cloud KMS non dispone del ruolo richiesto nell'organizzazione, l'output indica che i dati restituiti sono limitati al progetto selezionato (Anteprima).

API

Questi esempi utilizzano curl come client HTTP per dimostrare l'utilizzo dell'API. Per saperne di più sul controllo dell'accesso, consulta Accesso all'API Cloud KMS.

Per visualizzare il riepilogo dell'utilizzo delle chiavi, utilizza il metodo cryptoKeys.getProtectedResourcesSummary:

curl "https://kmsinventory.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/protectedResourcesSummary"
    --request "GET" \
    --header "x-goog-user-project: CALLING_PROJECT_ID"
    --header "Content-Type: application/json" \
    --header "Authorization: Bearer TOKEN"

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto che contiene le chiavi automatizzate.
  • LOCATION: la posizione di Cloud KMS delle chiavi automatizzate.
  • KEY_RING: il nome delle chiavi automatizzate che contengono la chiave.
  • KEY_NAME: il nome della chiave per cui vuoi visualizzare il riepilogo dell'utilizzo.
  • CALLING_PROJECT_ID: l'ID del progetto da cui chiami l'API Cloud KMS Inventory.

Per visualizzare i dettagli sull'utilizzo delle chiavi, utilizza il metodo protectedResources.search:

curl "https://kmsinventory.googleapis.com/v1/organizations/ORGANIZATION_ID/protectedResources:search?crypto_key=projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME"
    --request "GET" \
    --header "x-goog-user-project: CALLING_PROJECT_ID"
    --header "Content-Type: application/json" \
    --header "Authorization: Bearer TOKEN"

Sostituisci quanto segue:

  • ORGANIZATION_ID: l'ID numerico della tua organizzazione.
  • PROJECT_ID: l'ID del progetto che contiene le chiavi automatizzate.
  • LOCATION: la posizione di Cloud KMS delle chiavi automatizzate.
  • KEY_RING: il nome delle chiavi automatizzate che contengono la chiave.
  • KEY_NAME: il nome della chiave per cui vuoi visualizzare i dettagli di utilizzo.
  • CALLING_PROJECT_ID: l'ID del progetto da cui chiami l'API Cloud KMS Inventory.

Per impostazione predefinita, questo metodo restituisce i dettagli sull'utilizzo della chiave per tutte le risorse della tua organizzazione protette dalla chiave indicata. Se disponi del ruolo Visualizzatore risorse protette Cloud KMS a livello di progetto, ma non a livello di organizzazione, o se il account di servizio Cloud KMS non dispone del ruolo richiesto nell'organizzazione, l'output indica che i dati restituiti sono limitati al progetto selezionato (Anteprima).

Dettagli sull'utilizzo della chiave

I dettagli di utilizzo delle risorse protette criptate con la chiave selezionata includono quanto segue:

  • Nome: il nome della risorsa Google Cloud protetta dalla chiave selezionata.
  • Progetto: il nome del progetto che contiene la risorsa protetta.
  • Versione chiave di crittografia: la versione della chiave utilizzata per criptare questa risorsa. Alcune risorse protette non segnalano la versione della chiave di crittografia.
  • Prodotto Cloud: il prodotto Google Cloud associato a questa risorsa.
  • Tipo di risorsa: il tipo di risorsa protetta, ad esempio Bucket (Cloud Storage) o Disco (Compute Engine).
  • Posizione: la regione Google Cloud associata alla risorsa.
  • Data di creazione: l'ora in cui è stata creata la risorsa.
  • Etichette: un insieme di coppie chiave-valore associate alla risorsa.

Elenca le versioni della chiave che proteggono una risorsa

Se una risorsa è protetta da diverse versioni della chiave, potresti non essere in grado di visualizzare l'elenco completo delle versioni della chiave nella scheda Monitoraggio dell'utilizzo.

Per elencare le versioni delle chiavi che proteggono una risorsa, utilizza gcloud CLI per eseguire questo comando:

gcloud beta kms inventory search-protected-resources \
  --keyname=KEY_NAME \
  --scope=organizations/ORGANIZATION_ID \
  --filter="name:RESOURCE_NAME" \
  --flatten="cryptoKeyVersions" \
  --format="value(cryptoKeyVersions)"

Sostituisci quanto segue:

  • KEY_NAME: il nome della chiave per cui vuoi elencare le versioni della chiave.
  • ORGANIZATION_ID: l'ID numerico della tua organizzazione.
  • RESOURCE_NAME: il nome della risorsa per cui vuoi elencare le versioni delle chiavi.

Limitazioni

Quando utilizzi il monitoraggio dell'utilizzo delle chiavi, tieni presente quanto segue:

  • Il monitoraggio dell'utilizzo delle chiavi è disponibile solo per l'utilizzo delle chiavi CMEK. Se utilizzi una versione della chiave nelle tue applicazioni all'interno o all'esterno di Google Cloud, questo utilizzo non è incluso nella scheda Monitoraggio dell'utilizzo.
  • Per impostazione predefinita, le informazioni di monitoraggio dell'utilizzo delle chiavi vengono fornite a livello di organizzazione per tutte le risorse monitorabili dell'organizzazione protette dalla chiave selezionata. Tuttavia, se disponi del ruolo Cloud KMS Protected Resources Viewer nel progetto, ma non nell'organizzazione, il monitoraggio dell'utilizzo delle chiavi viene fornito a livello di progetto per le risorse del progetto selezionato protette dalla chiave selezionata (anteprima). Quando i dati di monitoraggio dell'utilizzo delle chiavi vengono forniti a livello di progetto, l'output indica che i dati sono limitati al progetto selezionato.
  • Le informazioni di monitoraggio dell'utilizzo delle chiavi possono essere visualizzate solo a livello di organizzazione se il account di servizio Cloud KMS dispone del ruolo Cloud KMS Organization Service Agent richiesto nell'organizzazione. Se il service account non dispone del ruolo richiesto, i dati di utilizzo delle chiavi vengono limitati al progetto selezionato (anteprima).
  • Alcune risorse CMEK non vengono monitorate. Per i tipi di risorse non elencati in Tipi di risorse monitorati, le informazioni sull'utilizzo delle chiavi potrebbero non essere incluse nei dettagli sull'utilizzo delle chiavi. Ad esempio, l'utilizzo delle chiavi da parte di Datastream per criptare le risorse ConnectionProfile (datastream.googleapis.com/ConnectionProfile) non viene visualizzato nella scheda Monitoraggio dell'utilizzo.
  • I dati potrebbero subire ritardi. Ad esempio, se crei una nuova risorsa protetta, la risorsa protetta e la versione della chiave associata non vengono aggiunte immediatamente alla scheda Monitoraggio dell'utilizzo.
  • I dati di utilizzo delle chiavi di Cloud Storage sono soggetti alle seguenti limitazioni aggiuntive:
    • I dati di utilizzo delle chiavi vengono aggregati dagli oggetti ai bucket. I nomi degli oggetti non vengono mostrati. Un bucket verrà mostrato come se utilizzasse una chiave se contiene almeno un oggetto che la utilizza.
    • Il monitoraggio dell'utilizzo delle chiavi potrebbe non essere completo per i bucket che contengono oggetti protetti con più di 4000 versioni di chiavi uniche.
  • I dettagli del monitoraggio dell'utilizzo delle chiavi sono solo a scopo informativo. Esegui la tua dovuta diligenza utilizzando altre fonti prima di apportare modifiche che potrebbero comportare interruzioni o perdita di dati. Non disattivare o eliminare le versioni delle chiavi in base alle sole informazioni di monitoraggio dell'utilizzo delle chiavi.

Tipi di risorse monitorati

Sono supportati i seguenti tipi di risorse:

    Servizio Risorsa
    AlloyDB per PostgreSQL alloydb.googleapis.com/Backup
    AlloyDB per PostgreSQL alloydb.googleapis.com/Cluster
    Apigee apigee.googleapis.com/Organization
    Apigee apigee.googleapis.com/Instance
    Hub API Apigee apihub.googleapis.com/ApiHubInstance
    Artifact Registry artifactregistry.googleapis.com/Repository
    Servizio di backup e RE backupdr.googleapis.com/BackupVault
    Servizio di backup e RE backupdr.googleapis.com/Backup
    BigQuery bigquery.googleapis.com/Dataset
    BigQuery bigquery.googleapis.com/Model
    BigQuery bigquery.googleapis.com/Table
    BigQuery bigquerydatatransfer.googleapis.com/TransferConfig
    Bigtable bigtableadmin.googleapis.com/Backup
    Bigtable bigtableadmin.googleapis.com/Cluster
    Bigtable bigtableadmin.googleapis.com/Table
    Cloud Composer composer.googleapis.com/Environment
    Cloud Data Fusion datafusion.googleapis.com/Instance
    API Cloud Healthcare healthcare.googleapis.com/Dataset
    Cloud Logging logging.googleapis.com/LogBucket
    Cloud Run run.googleapis.com/Revision
    Cloud Run Functions cloudfunctions.googleapis.com/CloudFunction
    Cloud Run Functions cloudfunctions.googleapis.com/Function
    Cloud SQL sqladmin.googleapis.com/BackupRun
    Cloud SQL sqladmin.googleapis.com/Instance
    Cloud Storage storage.googleapis.com/Bucket
    Cloud Workstations workstations.googleapis.com/Workstation
    Cloud Workstations workstations.googleapis.com/WorkstationConfig
    Compute Engine compute.googleapis.com/Disk
    Compute Engine compute.googleapis.com/Image
    Compute Engine compute.googleapis.com/MachineImage
    Compute Engine compute.googleapis.com/Snapshot
    Database Migration Service datamigration.googleapis.com/MigrationJob
    Database Migration Service datamigration.googleapis.com/ConnectionProfile
    Dataflow dataflow.googleapis.com/Job
    Dataproc dataproc.googleapis.com/Cluster
    Dataproc dataproc.googleapis.com/Batch
    Dataproc Metastore metastore.googleapis.com/Service
    Datastream datastream.googleapis.com/Stream
    Document AI documentai.googleapis.com/HumanReviewConfig
    Document AI documentai.googleapis.com/Processor
    Document AI documentai.googleapis.com/ProcessorVersion
    Filestore file.googleapis.com/Instance
    Filestore file.googleapis.com/Backup
    Firestore firestore.googleapis.com/Database
    Firestore datastore.googleapis.com/Database
    Gemini Enterprise Enterprise discoveryengine.googleapis.com/DataStore
    Google Cloud Managed Lustre lustre.googleapis.com/Instance
    Google Kubernetes Engine container.googleapis.com/Cluster
    Looker (Google Cloud core) looker.googleapis.com/Instance
    Memorystore for Redis redis.googleapis.com/Instance
    Migrate to Virtual Machines vmmigration.googleapis.com/Source
    Pub/Sub pubsub.googleapis.com/Topic
    Secret Manager secretmanager.googleapis.com/Secret
    Secret Manager secretmanager.googleapis.com/SecretVersion
    Secure Source Manager securesourcemanager.googleapis.com/Instance
    Spanner spanner.googleapis.com/Database
    Vertex AI aiplatform.googleapis.com/Dataset
    Vertex AI aiplatform.googleapis.com/Featurestore
    Vertex AI aiplatform.googleapis.com/Tensorboard
    Vertex AI aiplatform.googleapis.com/BatchPredictionJob
    Vertex AI aiplatform.googleapis.com/CustomJob
    Vertex AI aiplatform.googleapis.com/Endpoint
    Vertex AI aiplatform.googleapis.com/Model
    Vertex AI aiplatform.googleapis.com/TrainingPipeline
    Vertex AI aiplatform.googleapis.com/PipelineJob
    Vertex AI aiplatform.googleapis.com/MetadataStore
    Vertex AI Search discoveryengine.googleapis.com/DataStore
    Istanze Vertex AI Workbench notebooks.googleapis.com/Instance
    Workflow workflows.googleapis.com/Workflow