Ver chaves por projeto

Esta página mostra como visualizar keyrings e chaves no seu Google Cloud recurso do projeto.

Antes de começar

Antes de visualizar keyrings e chaves, conclua as etapas de configuração descritas nesta seção.

Ativar APIs

Para visualizar keyrings e chaves usando uma API, ative a API Cloud KMS Inventory.

Ativar a API

Funções exigidas

Para receber as permissões necessárias para visualizar chaves, peça ao administrador para conceder a você o papel do IAM de Leitor do Cloud KMS (roles/cloudkms.viewer) no seu projeto. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Esse papel predefinido contém as permissões necessárias para visualizar chaves. Para acessar as permissões exatas que são necessárias, expanda a seção Permissões necessárias:

Permissões necessárias

As seguintes permissões são necessárias para visualizar chaves:

  • cloudkms.keyRings.list
  • cloudkms.cryptoKeys.list
  • cloudkms.locations.list
  • resourcemanager.projects.get

Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.

Visualizar keyrings

Console

  1. Noconsole, acesse a página Keyrings. Google Cloud

    Acessar keyrings

  2. Opcional: para filtrar sua lista de keyrings, insira os termos de pesquisa na caixa filter_list Filtrar e pressione Enter.

  3. Opcional: para ordenar a lista pelos valores em uma coluna, clique no cabeçalho da coluna.

Ao visualizar os keyrings, você pode selecionar um keyring para ver detalhes sobre as chaves associadas e os jobs de importação.

Ver chaves

Use o Google Cloud console para visualizar as chaves criadas no recurso do projeto.

Console

  1. Noconsole, acesse a página Inventário de chaves. Google Cloud

    Acessar o inventário de chaves

  2. Opcional: para filtrar sua lista de chaves, insira os termos de pesquisa na filter_list Filtrar caixa e pressione Enter.

  3. Opcional: para ordenar a lista pelos valores em uma coluna, clique no cabeçalho da coluna.

CLI gcloud

Para usar o Cloud KMS na linha de comando, primeiro instale ou faça upgrade para a versão mais recente da Google Cloud CLI.

gcloud kms inventory list-keys --project PROJECT_ID

Substitua PROJECT_ID pelo nome do projeto em que você quer visualizar a lista de chaves.

Para informações sobre todas as sinalizações e valores possíveis, execute o comando com a sinalização --help.

API

Estes exemplos usam curl como um cliente HTTP para demonstrar o uso da API. Para mais informações sobre controle de acesso, consulte Como acessar a API Cloud KMS. 

curl "https://kmsinventory.googleapis.com/v1/projects/PROJECT_ID/cryptoKeys"
    --request "GET" \
    --header "x-goog-user-project: CALLING_PROJECT_ID"
    --header "Content-Type: application/json" \
    --header "Authorization: Bearer TOKEN"

Substitua:

  • PROJECT_ID: o ID do projeto que contém o keyring.
  • CALLING_PROJECT_ID: o ID do projeto de que você está chamando a API KMS Inventory.

Esse método retorna até 1.000 chaves. Para ver menos resultados, especifique o parâmetro de consulta pageSize. Para acessar a próxima página de resultados, especifique o parâmetro pageToken. As páginas após a primeira podem levar mais tempo para carregar. Para mais informações, consulte Método: projects.cryptoKeys.list.

Ao visualizar as chaves, você pode selecionar uma chave para ver detalhes sobre ela, incluindo as versões de chave associadas.

Detalhes importantes

O inventário de chaves apresenta informações detalhadas sobre as chaves criptográficas do seu projeto. As propriedades no inventário de chaves incluem:

  • Nome da chave: o nome da chave.
  • Status: o status atual da chave com base no estado da versão da chave primária. Esse campo se aplica apenas a chaves simétricas.
    • Disponível: a versão da chave primária está ativada. A chave está disponível para uso na criptografia e descriptografia de dados.
    • Não disponível: a versão da chave primária está desativada ou vazia. A chave não está disponível para uso na criptografia de dados.
    • Disponível no GCP: para chaves gerenciadas externamente, a chave (não necessariamente a chave gerenciada externamente em si) está disponível para uso.
  • Keyring: nome do keyring pai.
  • Local: onde o material da chave reside.
  • Rotação atual: a data e a hora em que a chave foi girada pela última vez. Esse campo mostra quando a versão atual da chave foi criada.
  • Frequência de rotação: a frequência de rotação atual da chave.
  • Próxima rotação: a data da próxima rotação de chaves programada. Uma nova versão da chave será criada automaticamente nessa data.
  • Nível de proteção: o nível de proteção da chave, por exemplo, HSM ou software.
  • EKM por conexão VPC: para chaves externas acessadas pela VPC, o nome de EKM por conexão VPC que a chave usa. Esse campo fica oculto por padrão e está em branco para chaves com níveis de proteção diferentes de External via VPC.
  • Finalidade: o cenário em que a chave pode ser usada.
  • Rótulos: rótulos aplicados à chave.

Limitações

  • A guia Keyring pode mostrar no máximo 1.000 recursos (incluindo key rings, chaves e versões de chave) por local. Para visualizar keyrings de um projeto e local com mais de 1.000 recursos, use o método keyRings.list na API Cloud KMS.

  • A guia Inventário de chaves pode mostrar no máximo 50.000 recursos (incluindo keyrings, chaves e versões de chave) por projeto. Para visualizar chaves de um projeto com mais de 50.000 recursos, use o método keyRings.cryptoKeys.list na API Cloud KMS ou o método projects.cryptoKeys.list na API Inventory do Cloud Key Management Service.

  • Ao usar o método keyRings.cryptoKeys.list na API Cloud KMS ou o método projects.cryptoKeys.list na API Inventory do Cloud Key Management Service em projetos com mais de 1.000 chaves, as páginas subsequentes podem levar mais tempo para carregar do que a primeira.