En esta página, se muestra cómo ver los llaveros de claves y las claves en el Google Cloud recurso de tu proyecto.
Antes de comenzar
Antes de que puedas ver los llaveros de claves y las claves, completa los pasos de configuración que se describen en esta sección.
Habilita las APIs
Para ver los llaveros de claves y las claves con una API, habilita la API de Cloud KMS Inventory.
Roles obligatorios
Para obtener los permisos que
necesitas para ver las claves,
pídele a tu administrador que te otorgue el
rol de IAM de Visualizador de Cloud KMS (roles/cloudkms.viewer) en tu proyecto.
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
Este rol predefinido contiene los permisos necesarios para ver las claves. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:
Permisos necesarios
Se requieren los siguientes permisos para ver las claves:
-
cloudkms.keyRings.list -
cloudkms.cryptoKeys.list -
cloudkms.locations.list -
resourcemanager.projects.get
También puedes obtener estos permisos con roles personalizados o otros roles predefinidos.
Ver los llaveros de claves
Console
En la Google Cloud consola, ve a la página Llaveros de claves.
Opcional: Para filtrar la lista de llaveros de claves, ingresa los términos de búsqueda en el filter_list Filtro y luego, presiona Intro.
Opcional: Para ordenar la lista por los valores de una columna, haz clic en el encabezado de la columna.
Mientras ves los llaveros de claves, puedes seleccionar uno para ver los detalles sobre las claves asociadas y los trabajos de importación.
Ver claves
Usa la Google Cloud consola de para ver las claves creadas en el recurso de tu proyecto.
Console
En la Google Cloud consola de, ve a la página Inventario de claves.
Opcional: Para filtrar la lista de claves, ingresa los términos de búsqueda en el filter_list Filtro cuadro y, luego, presiona Intro.
Opcional: Para ordenar la lista por los valores de una columna, haz clic en el encabezado de la columna.
gcloud CLI
Para usar Cloud KMS en la línea de comandos, primero Instala o actualiza a la versión más reciente de Google Cloud CLI.
gcloud kms inventory list-keys --project PROJECT_ID
Reemplaza PROJECT_ID por el nombre del proyecto para el que deseas ver la lista de claves.
Para obtener información sobre todas las marcas y los valores posibles, ejecuta el comando con la marca --help.
API
En estos ejemplos, se usa curl como un cliente HTTP para demostrar el uso de la API. Para obtener más información sobre el control de acceso, consulta Accede a la API de Cloud KMS.
curl "https://kmsinventory.googleapis.com/v1/projects/PROJECT_ID/cryptoKeys"
--request "GET" \
--header "x-goog-user-project: CALLING_PROJECT_ID"
--header "Content-Type: application/json" \
--header "Authorization: Bearer TOKEN"Reemplaza lo siguiente:
PROJECT_ID: Es el ID del proyecto que contiene el llavero de claves.CALLING_PROJECT_ID: Es el ID del proyecto desde el que llamas a la API de KMS Inventory.
Este método muestra hasta 1,000 claves. Para ver menos resultados, puedes especificar el parámetro de consulta pageSize. Para obtener la siguiente página de resultados, puedes especificar el parámetro pageToken. Las páginas posteriores a la primera pueden tardar más en cargarse. Para obtener más información, consulta Método: projects.cryptoKeys.list.
Mientras ves las claves, puedes seleccionar una para ver los detalles sobre ella, incluidas las versiones de clave asociadas.
Detalles clave
El inventario de claves proporciona información completa sobre las claves criptográficas de tu proyecto. Las propiedades del inventario de claves incluyen lo siguiente:
- Nombre de la clave: Es el nombre de la clave.
- Estado: Es el estado actual de la clave según el estado de la versión de clave primaria. Este campo solo se aplica a las claves simétricas.
- Disponible: La versión de clave primaria está habilitada. La clave está disponible para encriptar y desencriptar datos.
- No disponible: La versión de clave primaria está inhabilitada o vacía. La clave no está disponible para encriptar datos.
- Disponible en GCP: Para las claves administradas de forma externa, la clave (no necesariamente la clave administrada de forma externa en sí) está disponible para su uso.
- Llavero de claves: Es el nombre del llavero de claves superior.
- Ubicación: Es la ubicación donde reside el material de las claves.
- Rotación actual: Es la fecha y hora en que se rotó la clave por última vez. Este campo muestra cuándo se creó la versión de clave actual.
- Frecuencia de rotación: Es la frecuencia de rotación actual de la clave.
- Siguiente rotación: Es la fecha de la siguiente rotación de claves programada. Se creará una nueva versión de clave automáticamente en esta fecha.
- Nivel de protección: Es el nivel de protección de la clave, por ejemplo, HSM o Software.
- EKM a través de la conexión de VPC: Para las claves externas a las que se accede a través de VPC, es el nombre de
la conexión de EKM a través de VPC que usa la clave. Este campo está oculto de forma predeterminada y está en blanco para las claves con niveles de protección distintos de
External via VPC. - Propósito: Es la situación en la que se puede usar la clave.
- Etiquetas: Son las etiquetas que se aplicaron en la clave.
Limitaciones
La pestaña Llavero de claves puede mostrar un máximo de 1,000 recursos (incluidos llaveros de claves , claves y versiones de clave) por ubicación. Para ver los llaveros de claves de un proyecto y una ubicación con más de 1,000 recursos, usa el método keyRings.list en la API de Cloud KMS.
La pestaña Inventario de claves puede mostrar un máximo de 50,000 recursos (incluidos llaveros de claves, claves y versiones de clave) por proyecto. Para ver las claves de un proyecto con más de 50,000 recursos, usa el método keyRings.cryptoKeys.list en la API de Cloud KMS o el método projects.cryptoKeys.list en la API de Inventory de Cloud Key Management Service.
Cuando usas el método keyRings.cryptoKeys.list en la API de Cloud KMS o el método projects.cryptoKeys.list en la API de Inventory de Cloud Key Management Service en proyectos con más de 1,000 claves, las páginas posteriores pueden tardar más en cargarse que la primera.