按项目查看密钥

本页介绍了如何在 Google Cloud 项目资源中查看密钥环和密钥。

准备工作

在查看密钥环和密钥之前,请完成本部分中所述的设置步骤。

启用 API

如需使用 API 查看密钥环和密钥,请启用 Cloud KMS Inventory API。

启用 API

所需的角色

如需获得查看密钥所需的权限,请让您的管理员为您授予项目的 Cloud KMS Viewer (roles/cloudkms.viewer) IAM 角色。如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限

此预定义角色包含查看密钥所需的权限。如需查看所需的确切权限,请展开所需权限部分:

所需权限

如需查看密钥,您需要具备以下权限:

  • cloudkms.keyRings.list
  • cloudkms.cryptoKeys.list
  • cloudkms.locations.list
  • resourcemanager.projects.get

您也可以使用自定义角色或其他预定义角色来获取这些权限。

查看密钥环

控制台

  1. 在 Google Cloud 控制台中,前往密钥环页面。

    前往“密钥环”

  2. 可选:如需过滤密钥环列表,请在 filter_list 过滤框中输入搜索字词,然后按 Enter 键。

  3. 可选:如需按列中的值对列表进行排序,请点击列标题。

查看密钥环时,您可以选择一个密钥环,以查看有关关联密钥和导入作业的详细信息。

查看密钥

使用 Google Cloud 控制台查看在项目资源中创建的密钥。

控制台

  1. 在 Google Cloud 控制台中,前往密钥清单页面。

    前往“密钥清单”

  2. 可选:如需过滤密钥列表,请在 filter_list 过滤框中输入搜索字词,然后按 Enter 键。

  3. 可选:如需按列中的值对列表进行排序,请点击列标题。

gcloud CLI

如需在命令行上使用 Cloud KMS,请先安装或升级到最新版本的 Google Cloud CLI

gcloud kms inventory list-keys --project PROJECT_ID

PROJECT_ID 替换为您要查看其密钥列表的项目的名称。

如需了解所有标志和可能值,请使用 --help 标志运行命令。

API

这些示例使用 curl 作为 HTTP 客户端来演示如何使用 API。如需详细了解访问权限控制,请参阅访问 Cloud KMS API

curl "https://kmsinventory.googleapis.com/v1/projects/PROJECT_ID/cryptoKeys"
    --request "GET" \
    --header "x-goog-user-project: CALLING_PROJECT_ID"
    --header "Content-Type: application/json" \
    --header "Authorization: Bearer TOKEN"

替换以下内容:

  • PROJECT_ID:包含密钥环的项目的 ID。
  • CALLING_PROJECT_ID:您从中调用 KMS Inventory API 的项目的 ID。

此方法最多可返回 1,000 个键。如需减少结果数量,您可以指定 pageSize 查询参数。如需获取下一页结果,您可以指定 pageToken 参数。第一个页面之后的页面可能需要更长时间才能加载。如需了解详情,请参阅方法:projects.cryptoKeys.list

在查看密钥时,您可以选择一个密钥来查看有关该密钥的详细信息,包括其关联的密钥版本。

重要详细信息

密钥清单提供有关项目中加密密钥的全面信息。密钥清单中的属性包括:

  • 密钥名称:密钥的名称。
  • 状态:根据主密钥版本的状态得出的当前密钥状态。此字段仅适用于对称密钥。
    • 可用:主密钥版本已启用。密钥可用于加密和解密数据。
    • 不可用:主密钥版本已停用或为空。密钥无法用于加密数据。
    • 在 GCP 中可用:对于由外部管理的密钥,该密钥(不一定是由外部管理的密钥本身)可供使用。
  • 密钥环:父密钥环的名称。
  • 位置:密钥材料所在的位置。
  • 当前轮替:上次轮替密钥的日期和时间。此字段显示当前密钥版本的创建时间。
  • 轮替频率:密钥的当前轮替频率。
  • 下次轮替:安排下一次密钥轮替的日期。系统将在此日期自动创建新的密钥版本。
  • 保护级别:密钥的保护级别,例如 HSM 或软件。
  • 通过 VPC 连接的 EKM:对于通过 VPC 访问的外部密钥,该密钥使用的通过 VPC 连接的 EKM 的名称。此字段默认处于隐藏状态,对于保护级别不是 External via VPC 的密钥,此字段为空。
  • 用途:可能使用密钥的场景。
  • 标签:应用于密钥的标签。

限制

  • 密钥环标签页最多可显示每个位置的 1,000 个资源(包括密钥环、密钥和密钥版本)。如需查看资源超过 1,000 个的项目和位置的密钥环,请使用 Cloud KMS API 中的 keyRings.list 方法

  • 密钥清单标签页最多可显示每个项目 20,000 项资源(包括密钥环、密钥和密钥版本)。如需查看资源超过 2 万个的项目的密钥,请使用 Cloud KMS API 中的 keyRings.cryptoKeys.list 方法或 Cloud Key Management Service Inventory API 中的 projects.cryptoKeys.list 方法

  • 如果您在包含 1,000 多个密钥的项目中使用 Cloud KMS API 中的 keyRings.cryptoKeys.list 方法或 Cloud Key Management Service Inventory API 中的 projects.cryptoKeys.list 方法,则后续页面可能比第一个页面需要更长时间才能加载。