Cloud Key Management Service offre la possibilità di aggiungere etichette alle chiavi Cloud KMS. Le etichette sono coppie chiave/valore che puoi utilizzare per raggruppare chiavi Cloud KMS correlate e archiviare i metadati di una chiave Cloud KMS.
Le etichette sono incluse nella fattura, pertanto puoi vedere come sono distribuiti i costi nelle varie etichette.
Puoi aggiungere, aggiornare e rimuovere le etichette delle chiavi utilizzando Google Cloud CLI e l'API REST Cloud KMS.
Puoi utilizzare le etichette con altre risorse Google Cloud, ad esempio risorse di macchine virtuali e bucket di archiviazione. Per saperne di più sull'utilizzo delle etichette in Google Cloud, consulta Creare e gestire le etichette.
Cosa sono le etichette?
Un'etichetta è una coppia chiave/valore che puoi assegnare alle chiavi Cloud KMS di Google Cloud. Ti aiutano a organizzare queste risorse e a gestire i costi su larga scala, con la granularità di cui hai bisogno. Puoi associare un'etichetta a ogni risorsa e poi filtrare le risorse in base alle etichette. Le informazioni relative alle etichette vengono inoltrate al sistema di fatturazione, che consente di suddividere gli addebiti fatturati per etichetta. Con i report di fatturazione integrati, puoi filtrare e raggruppare i costi in base alle etichette delle risorse. Puoi anche utilizzare le etichette per eseguire query sulle esportazioni dei dati di fatturazione.
Requisiti per le etichette
Le etichette applicate a una risorsa devono soddisfare i seguenti requisiti:
- Ogni risorsa può avere fino a 64 etichette.
- Ogni etichetta deve essere una coppia chiave-valore.
- Le chiavi hanno una lunghezza minima di 1 carattere e una massima di 63 caratteri e non possono essere vuote. I valori possono essere vuoti e avere una lunghezza massima di 63 caratteri.
- Le chiavi e i valori possono contenere solo lettere minuscole, caratteri numerici, trattini bassi e trattini. Tutti i caratteri devono utilizzare la codifica UTF-8 e sono consentiti i caratteri internazionali. Le chiavi devono iniziare con una lettera minuscola o un carattere internazionale.
- La parte della chiave di un'etichetta deve essere univoca all'interno di una singola risorsa. Tuttavia, puoi utilizzare la stessa chiave con più risorse.
Questi limiti si applicano alla chiave e al valore di ogni etichetta e alle singole risorse Google Cloud con etichette. Non esiste un limite al numero di etichette che puoi applicare a tutte le risorse all'interno di un progetto.
Utilizzi comuni delle etichette
Ecco alcuni casi d'uso comuni per le etichette:
Etichette per team o centro di costo: aggiungi etichette in base al team o al centro di costo per distinguere le chiavi Cloud KMS di proprietà di team diversi (ad esempio
team:research
eteam:analytics
). Puoi utilizzare questo tipo di etichetta per la contabilità dei costi o la definizione del budget.Etichette dei componenti: ad esempio
component:redis
,component:frontend
,component:ingest
ecomponent:dashboard
.Etichette di ambiente o fase: ad esempio,
environment:production
eenvironment:test
.Etichette di stato: ad esempio
state:active
,state:readytodelete
estate:archive
.Etichette di proprietà: utilizzate per identificare i team responsabili delle operazioni, ad esempio:
team:shopping-cart
.
Non è consigliabile creare un numero elevato di etichette univoche, ad esempio per i timestamp o i singoli valori per ogni chiamata API. Il problema di questo approccio è che, quando i valori cambiano di frequente o con chiavi che ingombrano il catalogo, diventa difficile filtrare e generare report sulle risorse in modo efficace.
Etichette e tag
Le etichette possono essere utilizzate come annotazioni interrogabili per le risorse, ma non possono essere utilizzate per impostare condizioni sui criteri. I tag forniscono un modo per consentire o negare in modo condizionale i criteri a seconda che una risorsa abbia un tag specifico, offrendo un controllo granulare sui criteri. Per ulteriori informazioni, consulta la panoramica dei tag.
Creazione di una chiave con etichette
Quando crei una chiave, puoi aggiungere etichette specificando una o più coppie chiave-valore come etichette.
Nella console Google Cloud, vai alla pagina Gestione delle chiavi.
Fai clic sul nome del keyring per cui vuoi creare una chiave.
Fai clic su Crea chiave.
In Nome chiave, inserisci un nome per la chiave.
Configura la chiave in base alle tue esigenze.
Fai clic su Impostazioni aggiuntive.
Per ogni etichetta da aggiungere, fai clic su Aggiungi etichetta e inserisci Chiave e Valore.
Fai clic su Crea.
Per utilizzare Cloud KMS sulla riga di comando, esegui l'installazione o l'upgrade alla versione più recente di Google Cloud CLI.
Questo esempio mostra come creare una nuova chiave e assegnarle le etichette. Puoi anche aggiungere etichette a una chiave esistente.
gcloud kms keys createKEY_NAME \ --keyringKEY_RING \ --locationLOCATION \ --purposePURPOSE \ --labels "LABEL_LIST "
Sostituisci quanto segue:
KEY_NAME
: il nome della chiave.KEY_RING
: il mazzo di chiavi in cui vuoi creare la chiave.LOCATION
: la posizione del portachiavi, ad esempioglobal
.PURPOSE
: lo scopo della chiave, ad esempioencryption
.LABEL_LIST
: un elenco di coppie chiave-valore separate da virgola, in cui ogni coppia è formattata comeLABEL_KEY=LABEL_VALUE
. Ad esempio,env=prod,team=research
. Ogni chiave dell'etichetta può essere utilizzata una sola volta in una chiave Cloud Key Management Service. Se una chiave dell'etichetta viene specificata più volte con valori diversi, ogni nuovo valore sovrascrive quello precedente.
Per informazioni su tutti i flag e i possibili valori, esegui il comando con il flag --help
.
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo C# e installare l'SDK C# Cloud KMS.
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Go e installare l'SDK Go Cloud KMS.
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Java e installare l'SDK Java Cloud KMS.
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Node.js e installare l'SDK Node.js di Cloud KMS.
Per eseguire questo codice, devi innanzitutto scoprire come utilizzare PHP su Google Cloud e installare l'SDK PHP Cloud KMS.
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Python e installare l'SDK Python di Cloud KMS.
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Ruby e installare l'SDK Ruby Cloud KMS.
Aggiungi le etichette quando crei una nuova chiave utilizzando il metodo CryptoKeys.create
e includi la proprietà labels
nel corpo della richiesta. Ad esempio:
{
"purpose": "ENCRYPT_DECRYPT",
"labels": [
{
"key": "LABEL_KEY ",
"value": "LABEL_VALUE "
}
]
}
Sostituisci quanto segue:
LABEL_KEY
: la chiave dell'etichetta, ad esempioenv
.LABEL_VALUE
: il valore dell'etichetta, ad esempioprod
.
Puoi aggiungere più chiavi di etichetta, ciascuna con il proprio valore. Ogni chiave dell'etichetta può essere utilizzata solo una volta in una chiave di Cloud Key Management Service. Se una chiave dell'etichetta viene specificata più volte con valori diversi, ogni nuovo valore sovrascrive quello precedente.
Visualizzazione delle etichette in una chiave
Nella console Google Cloud, vai alla pagina Gestione delle chiavi.
Fai clic sul nome del keyring per la chiave che vuoi ispezionare.
Nell'intestazione, fai clic su Mostra riquadro informazioni.
Nel riquadro, scegli la scheda Etichette.
Per utilizzare Cloud KMS sulla riga di comando, esegui l'installazione o l'upgrade alla versione più recente di Google Cloud CLI.
gcloud kms keys describeKEY_NAME \ --keyringKEY_RING \ --locationLOCATION
Sostituisci quanto segue:
KEY_NAME
: il nome della chiave per cui vuoi visualizzare le etichette.KEY_RING
: il nome del mazzo di chiavi che contiene la chiave.LOCATION
: la posizione del mazzo di chiavi.
Per informazioni su tutti i flag e i possibili valori, esegui il comando con il flag --help
.
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo C# e installare l'SDK C# Cloud KMS.
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Go e installare l'SDK Go Cloud KMS.
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Java e installare l'SDK Java Cloud KMS.
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Node.js e installare l'SDK Node.js di Cloud KMS.
Per eseguire questo codice, devi innanzitutto scoprire come utilizzare PHP su Google Cloud e installare l'SDK PHP Cloud KMS.
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Python e installare l'SDK Python di Cloud KMS.
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Ruby e installare l'SDK Ruby Cloud KMS.
Questi esempi utilizzano curl come client HTTP per dimostrare l'utilizzo dell'API. Per ulteriori informazioni sul controllo dell'accesso, consulta Accedere all'API Cloud KMS.
Per visualizzare le etichette applicate alla chiave, utilizza il metodo
CryptoKeys.get
:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID /locations/LOCATION /keyRings/KEY_RING /cryptoKeys/KEY_NAME " \ --request "GET" \ --header "authorization: BearerTOKEN " \ --header "content-type: application/json" \ --header "x-goog-user-project:PROJECT_ID "
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto che contiene la chiave automatizzata.KEY_NAME
: il nome della chiave per cui vuoi visualizzare le etichette.KEY_RING
: il nome del mazzo di chiavi che contiene la chiave.LOCATION
: la posizione del mazzo di chiavi.
Aggiunta o aggiornamento delle etichette
Nella console Google Cloud, vai alla pagina Gestione delle chiavi.
Fai clic sul nome del keyring per la chiave che vuoi ispezionare.
Nell'intestazione, fai clic su Mostra riquadro informazioni.
Nel riquadro, scegli la scheda Etichette.
Modifica il valore di un'etichetta direttamente nel campo di testo corrispondente.
Modifica la chiave di un'etichetta aggiungendone una nuova con il nome della chiave desiderato ed elimina l'etichetta precedente facendo clic su Elimina
accanto all'etichetta che vuoi eliminare.Fai clic su Salva.
Per utilizzare Cloud KMS sulla riga di comando, esegui l'installazione o l'upgrade alla versione più recente di Google Cloud CLI.
gcloud kms keys updateKEY_NAME \ --keyringKEY_RING \ --locationLOCATION \ --update-labels "LABEL_LIST "
KEY_NAME
: il nome della chiave.KEY_RING
: il keyring che contiene la chiave.LOCATION
: la posizione del mazzo di chiavi.LABEL_LIST
: un elenco di coppie chiave-valore separate da virgola, in cui ogni coppia è formattata comeLABEL_KEY=LABEL_VALUE
. Ad esempio,env=prod,team=research
. Ogni chiave dell'etichetta può essere utilizzata una sola volta in una chiave Cloud Key Management Service. Se una chiave dell'etichetta viene specificata più volte con valori diversi, ogni nuovo valore sovrascrive quello precedente.
Per informazioni su tutti i flag e i possibili valori, esegui il comando con il flag --help
.
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo C# e installare l'SDK C# Cloud KMS.
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Go e installare l'SDK Go Cloud KMS.
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Java e installare l'SDK Java Cloud KMS.
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Node.js e installare l'SDK Node.js di Cloud KMS.
Per eseguire questo codice, devi innanzitutto scoprire come utilizzare PHP su Google Cloud e installare l'SDK PHP Cloud KMS.
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Ruby e installare l'SDK Ruby Cloud KMS.
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Python e installare l'SDK Python di Cloud KMS.
Questi esempi utilizzano curl come client HTTP per dimostrare l'utilizzo dell'API. Per ulteriori informazioni sul controllo dell'accesso, consulta Accedere all'API Cloud KMS.
Aggiungi o aggiorna le etichette di una chiave esistente utilizzando il metodo
CryptoKeys.patch
e includi la proprietà labels
nel corpo della richiesta. Ad esempio:
{
"labels": [
{
"key": "LABEL_KEY ",
"value": "LABEL_VALUE "
}
]
}
Rimozione di etichette
Nella console Google Cloud, vai alla pagina Gestione delle chiavi.
Fai clic sul nome del keyring per la chiave che vuoi ispezionare.
Nell'intestazione, fai clic su Mostra riquadro informazioni.
Nel riquadro, scegli la scheda Etichette.
Fai clic sull'icona Elimina
accanto alle etichette da eliminare.Fai clic su Salva.
Per utilizzare Cloud KMS sulla riga di comando, esegui l'installazione o l'upgrade alla versione più recente di Google Cloud CLI.
gcloud kms keys updateKEY_NAME \ --keyringKEY_RING \ --locationLOCATION \ --remove-labels "LABEL_KEYS "
KEY_NAME
: il nome della chiave.KEY_RING
: il keyring che contiene la chiave.LOCATION
: la posizione del mazzo di chiavi.LABEL_LIST
: un elenco separato da virgole di chiavi delle etichette che vuoi rimuovere dalla chiave, ad esempioenv,team
.
Per informazioni su tutti i flag e i possibili valori, esegui il comando con il flag --help
.
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo C# e installare l'SDK C# Cloud KMS.
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Go e installare l'SDK Go Cloud KMS.
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Java e installare l'SDK Java Cloud KMS.
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Node.js e installare l'SDK Node.js di Cloud KMS.
Per eseguire questo codice, devi innanzitutto scoprire come utilizzare PHP su Google Cloud e installare l'SDK PHP Cloud KMS.
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Python e installare l'SDK Python di Cloud KMS.
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Ruby e installare l'SDK Ruby Cloud KMS.
Questi esempi utilizzano curl come client HTTP per dimostrare l'utilizzo dell'API. Per ulteriori informazioni sul controllo dell'accesso, consulta Accedere all'API Cloud KMS.
Rimuovi le etichette da una chiave esistente utilizzando il metodo
CryptoKeys.patch
e includi la proprietà labels
come array vuoto nel corpo della richiesta. Ad esempio:
{
"labels": []
}
Audit logging
Gli audit log di Cloud per Cloud KMS possono essere utilizzati per registrare le informazioni sulle etichette quando le chiavi vengono create o aggiornate. La creazione e l'aggiornamento delle chiavi sono entrambe attività di amministrazione e le modifiche alle etichette vengono registrate nel log delle attività di amministrazione.