Afficher les clés par projet

Cette page explique comment afficher les trousseaux de clés et les clés dans la Google Cloud ressource de votre projet.

Avant de commencer

Avant de pouvoir afficher les trousseaux de clés et les clés, suivez les étapes de configuration décrites dans cette section.

Activer les API

Pour afficher les trousseaux de clés et les clés à l'aide d'une API, activez l'API Cloud KMS Inventory.

Activer l'API

Rôles requis

Pour obtenir les autorisations nécessaires pour afficher les clés, demandez à votre administrateur de vous accorder le Lecteur Cloud KMS (roles/cloudkms.viewer) rôle IAM sur votre projet. Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Ce rôle prédéfini contient les autorisations requises pour afficher les clés. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :

Autorisations requises

Les autorisations suivantes sont requises pour afficher les clés :

  • cloudkms.keyRings.list
  • cloudkms.cryptoKeys.list
  • cloudkms.locations.list
  • resourcemanager.projects.get

Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

Afficher les trousseaux de clés

Console

  1. Dans la Google Cloud console, accédez à la page Trousseaux de clés.

    Accéder à la page "Trousseaux de clés"

  2. Facultatif : Pour filtrer votre liste de trousseaux de clés, saisissez vos termes de recherche dans la zone filter_list Filtre et puis appuyez sur Entrée.

  3. Facultatif : Pour trier la liste par les valeurs d'une colonne, cliquez sur l'en-tête de la colonne.

Lorsque vous affichez vos trousseaux de clés, vous pouvez en sélectionner un pour afficher des informations sur les clés et les tâches d'importation associées.

Afficher les clés

Utilisez la Google Cloud consolepour afficher les clés créées dans la ressource de votre projet.

Console

  1. Dans la Google Cloud console, accédez à la page Inventaire des clés.

    Accéder à la page "Inventaire des clés"

  2. Facultatif : Pour filtrer votre liste de clés, saisissez vos termes de recherche dans la filter_list Filtre zone, puis appuyez sur Entrée.

  3. Facultatif : Pour trier la liste par les valeurs d'une colonne, cliquez sur l'en-tête de la colonne.

Gcloud CLI

Pour utiliser Cloud KMS sur la ligne de commande, commencez par installer ou mettre à jour la dernière version de Google Cloud CLI.

gcloud kms inventory list-keys --project PROJECT_ID

Remplacez PROJECT_ID par le nom du projet pour lequel vous souhaitez afficher la liste des clés.

Pour en savoir plus sur toutes les options et valeurs possibles, exécutez la commande avec l'option --help.

API

Ces exemples utilisent curl comme client HTTP pour démontrer l'utilisation de l'API. Pour en savoir plus sur le contrôle des accès, consultez la page Accéder à l'API Cloud KMS. 

curl "https://kmsinventory.googleapis.com/v1/projects/PROJECT_ID/cryptoKeys"
    --request "GET" \
    --header "x-goog-user-project: CALLING_PROJECT_ID"
    --header "Content-Type: application/json" \
    --header "Authorization: Bearer TOKEN"

Remplacez les éléments suivants :

  • PROJECT_ID : ID du projet contenant le trousseau de clés.
  • CALLING_PROJECT_ID: ID du projet à partir duquel vous appelez l'API KMS Inventory.

Cette méthode renvoie jusqu'à 1 000 clés. Pour afficher moins de résultats, vous pouvez spécifier le paramètre de requête pageSize. Pour obtenir la page de résultats suivante, vous pouvez spécifier le paramètre pageToken. Le chargement des pages suivantes peut prendre plus de temps. Pour en savoir plus, consultez la page Méthode : projects.cryptoKeys.list.

Lorsque vous affichez vos clés, vous pouvez en sélectionner une pour afficher des informations à son sujet, y compris les versions de clé associées.

Informations essentielles

L'inventaire des clés fournit des informations complètes sur les clés cryptographiques de votre projet. Les propriétés de l'inventaire des clés incluent les éléments suivants :

  • Nom de la clé : nom de la clé.
  • État : état actuel de la clé en fonction de l'état de la version de clé principale. Ce champ ne s'applique qu'aux clés symétriques.
    • Disponible : la version de clé principale est activée. La clé peut être utilisée pour chiffrer et déchiffrer des données.
    • Non disponible : la version de clé principale est désactivée ou vide. La clé ne peut pas être utilisée pour chiffrer des données.
    • Disponible dans GCP : pour les clés gérées en externe, la clé (et non nécessairement la clé gérée en externe elle-même) peut être utilisée.
  • Trousseau de clés : nom du trousseau de clés parent.
  • Emplacement : emplacement où réside le matériel de clé.
  • Rotation actuelle : date et heure de la dernière rotation de la clé. Ce champ indique la date de création de la version de clé actuelle.
  • Fréquence de rotation : fréquence de rotation actuelle de la clé.
  • Prochaine rotation : date de la prochaine rotation des clés programmée. Une nouvelle version de clé sera créée automatiquement à cette date.
  • Niveau de protection : niveau de protection de la clé, par exemple HSM ou Logiciel.
  • EKM via une connexion VPC : pour les clés externes accessibles via un VPC, nom de la connexion EKM via un VPC utilisée par la clé. Ce champ est masqué par défaut et est vide pour les clés dont le niveau de protection est différent de External via VPC.
  • Objectif : scénario dans lequel la clé peut être utilisée.
  • Libellés : libellés appliqués à la clé.

Limites

  • L'onglet Trousseau de clés peut afficher au maximum 1 000 ressources (y compris les trousseaux de clés, les clés et les versions de clé) par emplacement. Pour afficher les trousseaux de clés d'un projet et d'un emplacement comportant plus de 1 000 ressources, utilisez la méthode keyRings.list dans l'API Cloud KMS.

  • L'onglet Inventaire des clés peut afficher au maximum 50 000 ressources (y compris les trousseaux de clés, les clés et les versions de clé) par projet. Pour afficher les clés d'un projet comportant plus de 50 000 ressources, utilisez la méthode keyRings.cryptoKeys.list dans l'API Cloud KMS ou la méthode projects.cryptoKeys.list dans l'API Cloud Key Management Service Inventory.

  • Lorsque vous utilisez la méthode keyRings.cryptoKeys.list dans l' API Cloud KMS ou la méthode projects.cryptoKeys.list dans l' API Cloud Key Management Service Inventory dans des projets comportant plus de 1 000 clés, le chargement des pages suivantes peut prendre plus de temps que celui de la première page.