依專案查看金鑰

本頁說明如何查看 Google Cloud 專案資源中的金鑰環和金鑰。

事前準備

如要查看金鑰環和金鑰,請先完成本節所述的設定步驟。

啟用 API

如要透過 API 查看金鑰環和金鑰,請啟用 Cloud KMS Inventory API。

啟用 API

必要的角色

如要取得查看金鑰所需的權限,請要求管理員授予您專案的「Cloud KMS 檢視者 」(roles/cloudkms.viewer) IAM 角色。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和組織的存取權」。

這個預先定義的角色具備查看金鑰所需的權限。如要查看確切的必要權限,請展開「Required permissions」(必要權限) 部分:

所需權限

如要查看金鑰,必須具備下列權限:

  • cloudkms.keyRings.list
  • cloudkms.cryptoKeys.list
  • cloudkms.locations.list
  • resourcemanager.projects.get

您或許還可透過自訂角色或其他預先定義的角色取得這些權限。

查看金鑰環

控制台

  1. 前往 Google Cloud 控制台的「Key Rings」(金鑰環) 頁面。

    前往「金鑰環」

  2. 選用:如要篩選鑰匙圈清單,請在「篩選」方塊中輸入搜尋字詞 filter_list,然後按下 Enter 鍵。

  3. 選用:如要依資料欄中的值排序清單,請按一下資料欄標題。

查看金鑰環時,您可以選取金鑰環,查看相關聯金鑰和匯入工作的詳細資料。

查看金鑰

您可以使用 Google Cloud 控制台,查看在專案資源中建立的金鑰。

控制台

  1. 前往 Google Cloud 控制台的「Key Inventory」(金鑰清單) 頁面。

    前往「重要廣告空間」

  2. 選用:如要篩選金鑰清單,請在「filter_list」filter_list篩選器方塊中輸入搜尋字詞,然後按下 Enter 鍵。

  3. 選用:如要依資料欄中的值排序清單,請按一下資料欄標題。

gcloud CLI

如要在指令列上使用 Cloud KMS,請先安裝或升級至最新版本的 Google Cloud CLI

gcloud kms inventory list-keys --project PROJECT_ID

PROJECT_ID 替換為要查看金鑰清單的專案名稱。

如要瞭解所有旗標和可能的值,請執行含 --help 旗標的指令。

API

這些範例使用 curl 做為 HTTP 用戶端,示範如何使用 API。如要進一步瞭解存取控制,請參閱「存取 Cloud KMS API」。

curl "https://kmsinventory.googleapis.com/v1/projects/PROJECT_ID/cryptoKeys"
    --request "GET" \
    --header "x-goog-user-project: CALLING_PROJECT_ID"
    --header "Content-Type: application/json" \
    --header "Authorization: Bearer TOKEN"

更改下列內容:

  • PROJECT_ID:包含金鑰環的專案 ID。
  • CALLING_PROJECT_ID:您要從中呼叫 KMS Inventory API 的專案 ID。

這個方法最多會傳回 1,000 個金鑰。如要減少結果數量,可以指定 pageSize 查詢參數。如要取得下一頁結果,可以指定 pageToken 參數。第一頁之後的頁面可能需要較長時間才能載入。詳情請參閱「方法:projects.cryptoKeys.list」。

查看金鑰時,您可以選取金鑰來查看詳細資料,包括相關聯的金鑰版本。

金鑰詳細資料

金鑰清單會提供專案中加密金鑰的完整資訊。主要房源的屬性包括:

  • 金鑰名稱:金鑰名稱。
  • 狀態:主要金鑰版本的狀態。這個欄位僅適用於對稱金鑰。
    • 可用:主要金鑰版本已啟用。金鑰可用於加密及解密資料。
    • 無法使用:主要金鑰版本已停用或空白。金鑰無法用於加密資料。
    • GCP 中可用:對於外部代管金鑰,金鑰 (不一定是外部代管金鑰本身) 可供使用。
  • 金鑰環:父項金鑰環的名稱。
  • 位置:金鑰材料所在位置。
  • 目前輪替:上次輪替金鑰的日期和時間。這個欄位會顯示目前金鑰版本的建立時間。
  • 輪替頻率:金鑰目前的輪替頻率。
  • 下次輪替:下次排定的金鑰輪替日期。系統會在當天自動建立新的金鑰版本。
  • 防護等級:金鑰的防護等級,例如 HSM 或軟體。
  • 透過虛擬私有雲連至 EKM 的連線:如要透過虛擬私有雲存取外部金鑰,請輸入金鑰使用的「透過虛擬私有雲連至 EKM 的連線」名稱。這個欄位預設為隱藏,如果金鑰的保護等級不是 External via VPC,這個欄位就會留空。
  • 用途:金鑰的使用情境。
  • 標籤:套用至金鑰的標籤。

限制

  • 「金鑰環」分頁最多可顯示每個位置的 1,000 個資源 (包括金鑰環、金鑰和金鑰版本)。如要查看專案和位置的金鑰環 (超過 1,000 個資源),請使用 Cloud KMS API 中的 keyRings.list 方法

  • 「金鑰清單」分頁最多可顯示每個專案的 20,000 項資源 (包括金鑰環、金鑰和金鑰版本)。如要查看資源超過 20,000 個的專案金鑰,請使用 Cloud KMS API 中的 keyRings.cryptoKeys.list 方法,或 Cloud Key Management Service Inventory API 中的 projects.cryptoKeys.list 方法

  • 在金鑰超過 1,000 個的專案中,使用 Cloud KMS API 的 keyRings.cryptoKeys.list 方法,或 Cloud Key Management Service Inventory API 的 projects.cryptoKeys.list 方法時,後續頁面載入時間可能會比第一頁長。