בדף הזה מוסבר איך לצפות באוספי מפתחות ובמפתחות ב Google Cloud משאב הפרויקט.
לפני שמתחילים
כדי לראות את מחזיקי המפתחות והמפתחות, צריך להשלים את שלבי ההגדרה שמתוארים בקטע הזה.
הפעלת ממשקי ה-API
כדי להציג אוספי מפתחות ומפתחות באמצעות API, צריך להפעיל את Cloud KMS Inventory API.
התפקידים הנדרשים
כדי לקבל את ההרשאות שנדרשות להצגת מפתחות, צריך לבקש מהאדמין להקצות לכם ב-IAM את התפקיד Cloud KMS Viewer (roles/cloudkms.viewer) בפרויקט.
כדי לקרוא הסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.
זהו תפקיד שמוגדר מראש וכולל את ההרשאות שנדרשות לצפייה במפתחות. כדי לראות בדיוק אילו הרשאות נדרשות, אפשר להרחיב את הקטע ההרשאות הנדרשות:
ההרשאות הנדרשות
כדי להציג מפתחות, נדרשות ההרשאות הבאות:
-
cloudkms.keyRings.list -
cloudkms.cryptoKeys.list -
cloudkms.locations.list -
resourcemanager.projects.get
יכול להיות שתקבלו את ההרשאות האלה באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש אחרים.
צפייה באוספי מפתחות
המסוף
נכנסים לדף Key Rings במסוף Google Cloud .
אופציונלי: כדי לסנן את רשימת מחזיקי המפתחות, מזינים את מונחי החיפוש בתיבה filter_list Filter ולוחצים על Enter.
אופציונלי: כדי למיין את הרשימה לפי הערכים בעמודה, לוחצים על כותרת העמודה.
כשאתם מעיינים במחזיקי המפתחות, אתם יכולים לבחור מחזיק מפתחות כדי לראות פרטים על המפתחות המשויכים ועל עבודות הייבוא.
הצגת המקשים
משתמשים במסוף Google Cloud כדי להציג את המפתחות שנוצרו במשאב הפרויקט.
המסוף
נכנסים לדף Key Inventory במסוף Google Cloud .
אופציונלי: כדי לסנן את רשימת המפתחות, מזינים את מונחי החיפוש בתיבה filter_list Filter ואז מקישים על Enter.
אופציונלי: כדי למיין את הרשימה לפי הערכים בעמודה, לוחצים על כותרת העמודה.
gcloud
כדי להשתמש ב-Cloud KMS בשורת הפקודה, קודם צריך להתקין את הגרסה האחרונה של Google Cloud CLI או לשדרג אליה.
gcloud kms inventory list-keys --project PROJECT_ID
מחליפים את PROJECT_ID בשם הפרויקט שרוצים לראות את רשימת המפתחות שלו.
כדי לקבל מידע על כל הדגלים והערכים האפשריים, מריצים את הפקודה עם הדגל --help.
REST
בדוגמאות האלה נעשה שימוש ב-curl כלקוח HTTP כדי להדגים את השימוש ב-API. מידע נוסף על בקרת גישה זמין במאמר גישה ל-Cloud KMS API.
curl "https://kmsinventory.googleapis.com/v1/projects/PROJECT_ID/cryptoKeys"
--request "GET" \
--header "x-goog-user-project: CALLING_PROJECT_ID"
--header "Content-Type: application/json" \
--header "Authorization: Bearer TOKEN"מחליפים את מה שכתוב בשדות הבאים:
-
PROJECT_ID: מזהה הפרויקט שמכיל את מחזיק המפתחות. -
CALLING_PROJECT_ID: מזהה הפרויקט שממנו מתבצעת הקריאה ל-KMS Inventory API.
השיטה הזו מחזירה עד 1,000 מפתחות. כדי לראות פחות תוצאות, אפשר לציין את פרמטר השאילתה pageSize. כדי לקבל את דף התוצאות הבא, אפשר לציין את הפרמטר pageToken. יכול להיות שייקח יותר זמן לטעון דפים אחרי הדף הראשון. מידע נוסף זמין במאמר בנושא Method: projects.cryptoKeys.list.
כשמציגים את המפתחות, אפשר לבחור מפתח כדי לראות את הפרטים שלו, כולל גרסאות המפתח המשויכות.
הפרטים העיקריים
מלאי המפתחות מספק מידע מקיף על המפתחות הקריפטוגרפיים בפרויקט. המאפיינים במלאי המפתחות כוללים את המאפיינים הבאים:
- שם המפתח: השם של המפתח.
- סטטוס: הסטטוס הנוכחי של המפתח על סמך המצב של גרסת המפתח הראשית. השדה הזה רלוונטי רק למפתחות סימטריים.
- זמין: הגרסה של המפתח הראשי מופעלת. המפתח זמין לשימוש להצפנה ולפענוח של נתונים.
- לא זמין: הגרסה הראשית של המפתח מושבתת או ריקה. המפתח לא זמין לשימוש להצפנת נתונים.
- זמין ב-GCP: במקרה של מפתחות שמנוהלים באופן חיצוני, המפתח (לא בהכרח המפתח שמנוהל באופן חיצוני עצמו) זמין לשימוש.
- אוסף מפתחות: השם של אוסף המפתחות הראשי.
- מיקום: המיקום שבו נמצא חומר המפתח.
- הרוטציה הנוכחית: התאריך והשעה שבהם בוצעה הרוטציה האחרונה של המפתח. בשדה הזה מוצג התאריך שבו נוצרה גרסת המפתח הנוכחית.
- תדירות הרוטציה: תדירות הרוטציה הנוכחית של המפתח.
- רוטציית המפתחות הבאה: התאריך של רוטציית המפתחות המתוזמנת הבאה. גרסה חדשה של המפתח תיווצר באופן אוטומטי בתאריך הזה.
- רמת ההגנה: רמת ההגנה של המפתח, לדוגמה, HSM או תוכנה.
- EKM via VPC connection: עבור מפתחות חיצוניים שמתבצעת אליהם גישה דרך VPC, השם של EKM via VPC connection שבו המפתח משתמש. השדה הזה מוסתר כברירת מחדל, והוא ריק עבור מפתחות עם רמות הגנה שאינן
External via VPC. - מטרה: התרחיש שבו אפשר להשתמש במפתח.
- תוויות: תוויות שהוחלו על המפתח.
מגבלות
בכרטיסייה Key ring אפשר להציג לכל היותר 1,000 משאבים (כולל אוספי מפתחות, מפתחות וגרסאות של מפתחות) לכל מיקום. כדי להציג אוספי מפתחות בפרויקט ובמיקום עם יותר מ-1,000 משאבים, משתמשים בשיטה keyRings.list ב-Cloud KMS API.
בכרטיסייה Key inventory אפשר להציג עד 50,000 משאבים (כולל אוספי מפתחות, מפתחות וגרסאות של מפתחות) לכל פרויקט. כדי להציג מפתחות של פרויקט עם יותר מ-50,000 משאבים, צריך להשתמש בשיטה keyRings.cryptoKeys.list ב-Cloud KMS API או בשיטה projects.cryptoKeys.list ב-Cloud Key Management Service Inventory API.
כשמשתמשים בשיטה keyRings.cryptoKeys.list ב-Cloud KMS API או בשיטה projects.cryptoKeys.list ב-Cloud Key Management Service Inventory API בפרויקטים עם יותר מ-1,000 מפתחות, יכול להיות שיחלפו יותר זמן עד שהדפים הבאים ייטענו בהשוואה לדף הראשון.