Schlüsselnutzung ansehen

Auf dieser Seite erfahren Sie, wie Sie die Google Cloud Ressourcen in Ihrer Organisation aufrufen, die durch Ihre Cloud KMS-Schlüssel geschützt sind. Die Schlüsselnutzung kann nur innerhalb von Organisationsressourcen erfasst werden.

Sie können sich Informationen zu den Ressourcen ansehen, die durch Ihre Schlüssel geschützt werden, auf zwei Ebenen:

  • Die Informationen in der Zusammenfassung der Schlüsselnutzung für jeden Schlüssel umfassen die Anzahl der geschützten Ressourcen, Projekte und eindeutigen Google Cloud Produkte, für die der Schlüssel verwendet wird. Diese Detailebene ist für alle Nutzer verfügbar, die die Rolle „Cloud KMS-Betrachter“ für den Schlüssel haben.
  • Anhand der Details zur Schlüsselnutzung können Sie ermitteln, welche Ressourcen durch diesen Schlüssel geschützt sind und von ihm abhängen. Diese Detailebene ist nur für Konten mit der Rolle „Betrachter von geschützten Ressourcen in Cloud KMS“ in der Organisation verfügbar.

Hinweise

Auf dieser Seite wird davon ausgegangen, dass Sie Cloud KMS in einerGoogle Cloud Organisationsressource verwenden.

  1. Bitten Sie den Administrator Ihrer Organisation, Ihrem Cloud KMS-Dienstkonto die Rolle „Dienst-Agent für die Cloud KMS-Organisation“ (cloudkms.orgServiceAgent) für die Organisationsressource zu gewähren. Diese Rolle ist in der Google Cloud Console nicht verfügbar. Sie müssen die Rolle daher mit der gcloud CLI gewähren:

    gcloud-CLI

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member=serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-cloudkms.iam.gserviceaccount.com \
    --role=roles/cloudkms.orgServiceAgent

    Ersetzen Sie ORGANIZATION_ID durch die numerische ID Ihrer Organisation.

  2. Gewähren Sie allen Nutzern, die Zusammenfassungen zur Schlüsselnutzung aufrufen müssen, die Rolle „Cloud KMS-Betrachter“ (roles/cloudkms.viewer). Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

  3. Gewähren Sie allen Nutzern, die Details zur Schlüsselnutzung ansehen müssen, die Rolle „Betrachter von geschützten Cloud KMS-Ressourcen“ (roles/cloudkms.protectedResourcesViewer) für Ihre Organisationsressource. Diese Rolle ist in der Google Cloud Console nicht verfügbar. Sie müssen die Rolle daher mit der gcloud CLI gewähren:

    gcloud-CLI

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member=user:USER_EMAIL \
    --role=roles/cloudkms.protectedResourcesViewer

    Ersetzen Sie Folgendes:

    • ORGANIZATION_ID: die numerische ID Ihrer Organisation.
    • USER_EMAIL: die E-Mail-Adresse des Nutzers.

  4. Aktivieren Sie die Cloud KMS Inventory API.

    API aktivieren

Informationen zur Schlüsselnutzung aufrufen

Console

  1. Rufen Sie in der Google Cloud Console die Seite Schlüsselinventar auf.

    Zu „Schlüsselinventar“

  2. Optional: Wenn Sie die Liste der Schlüssel filtern möchten, geben Sie Ihre Suchbegriffe in das Feld filter_list Filter ein und drücken Sie die Eingabetaste. Sie können beispielsweise nach Standort, Schlüsselring, Status oder anderen Eigenschaften der Schlüssel filtern.

  3. Klicken Sie auf den Namen des Schlüssels, für den Sie Nutzungsinformationen aufrufen möchten.

  4. Klicken Sie auf den Tab Nutzungs-Tracking.

  5. Optional: Wenn Sie die Liste der geschützten Ressourcen filtern möchten, geben Sie Ihre Suchbegriffe in das Feld filter_list Filter ein und drücken Sie die Eingabetaste.

Für den ausgewählten Schlüssel werden eine Zusammenfassung und Details zur Schlüsselnutzung angezeigt.

gcloud-CLI

Wenn Sie Cloud KMS in der Befehlszeile verwenden möchten, müssen Sie zuerst die neueste Version der Google Cloud CLI installieren oder ein Upgrade ausführen.

Verwenden Sie die Methode get-protected-resources-summary, um die Zusammenfassung der Schlüsselnutzung aufzurufen:

gcloud kms inventory get-protected-resources-summary \
    --keyname  projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME \

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Projekts, das den Schlüsselbund enthält.
  • LOCATION: der Cloud KMS-Speicherort des Schlüsselbunds.
  • KEY_RING: der Name des Schlüsselbunds, der den Schlüssel enthält
  • KEY_NAME: Der Name des Schlüssels, für den Sie die Nutzungsübersicht aufrufen möchten.

Mit der Methode search-protected-resources können Sie Details zur Schlüsselnutzung aufrufen:

gcloud kms inventory search-protected-resources \
    --keyname  projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME \
    --scope=organizations/ORGANIZATION_ID

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Projekts, das den Schlüsselbund enthält.
  • LOCATION: der Cloud KMS-Speicherort des Schlüsselbunds.
  • KEY_RING: der Name des Schlüsselbunds, der den Schlüssel enthält
  • KEY_NAME: der Name des Schlüssels, für den Sie Nutzungsdetails aufrufen möchten.
  • ORGANIZATION_ID: die numerische ID Ihrer Organisation.

API

In diesen Beispielen wird curl als HTTP-Client verwendet, um die Verwendung der API zu demonstrieren. Weitere Informationen zur Zugriffssteuerung finden Sie unter Auf die Cloud KMS API zugreifen.

Verwenden Sie die Methode cryptoKeys.getProtectedResourcesSummary, um die Zusammenfassung der Schlüsselnutzung aufzurufen:

curl  "https://kmsinventory.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/protectedResourcesSummary"
    --request "GET" \
    --header "x-goog-user-project: CALLING_PROJECT_ID"
    --header "Content-Type: application/json" \
    --header "Authorization: Bearer TOKEN"

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Projekts, das den Schlüsselbund enthält.
  • LOCATION: der Cloud KMS-Speicherort des Schlüsselbunds.
  • KEY_RING: der Name des Schlüsselbunds, der den Schlüssel enthält
  • KEY_NAME: Der Name des Schlüssels, für den Sie die Nutzungsübersicht aufrufen möchten.
  • CALLING_PROJECT_ID: die ID des Projekts, von dem aus Sie die KMS Inventory API aufrufen.

Mit der Methode protectedResources.search können Sie Details zur Schlüsselnutzung aufrufen:

curl "https://kmsinventory.googleapis.com/v1/organizations/ORGANIZATION_ID/protectedResources:search?crypto_key=projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME"
    --request "GET" \
    --header "x-goog-user-project: CALLING_PROJECT_ID"
    --header "Content-Type: application/json" \
    --header "Authorization: Bearer TOKEN"

Ersetzen Sie Folgendes:

  • ORGANIZATION_ID: die numerische ID Ihrer Organisation.
  • PROJECT_ID: die ID des Projekts, das den Schlüsselbund enthält.
  • LOCATION: der Cloud KMS-Speicherort des Schlüsselbunds.
  • KEY_RING: der Name des Schlüsselbunds, der den Schlüssel enthält
  • KEY_NAME: der Name des Schlüssels, für den Sie Nutzungsdetails aufrufen möchten.
  • CALLING_PROJECT_ID: die ID des Projekts, von dem aus Sie die KMS Inventory API aufrufen.

Details zur Schlüsselverwendung

Zu den Nutzungsdetails der geschützten Ressourcen, die mit dem ausgewählten Schlüssel verschlüsselt sind, gehören:

  • Name: Der Name der Google Cloud Ressource, die durch den ausgewählten Schlüssel geschützt ist.
  • Project (Projekt): Der Name des Projekts, das die geschützte Ressource enthält.
  • Crypto-Schlüsselversion: Die Schlüsselversion, die zum Verschlüsseln dieser Ressource verwendet wird. Für einige geschützte Ressourcen wird die Version des kryptografischen Schlüssels nicht gemeldet.
  • Cloud-Produkt: Das Google Cloud Produkt, das mit dieser Ressource verknüpft ist.
  • Ressourcentyp: Der Typ der geschützten Ressource, z. B. Bucket (Cloud Storage) oder Laufwerk (Compute Engine).
  • Standort: Die Google Cloud Region, die mit der Ressource verknüpft ist.
  • Erstellungsdatum: Der Zeitpunkt, zu dem die Ressource erstellt wurde.
  • Labels: Eine Reihe von Schlüssel/Wert-Paaren, die der Ressource zugeordnet sind.

Schlüsselversionen auflisten, die eine Ressource schützen

Wenn eine Ressource durch mehrere Schlüsselversionen geschützt ist, wird auf dem Tab Nutzungsaufzeichnung möglicherweise nicht die vollständige Liste der Schlüsselversionen angezeigt.

Führen Sie den folgenden Befehl aus, um die Schlüsselversionen aufzulisten, die eine Ressource schützen:

gcloud beta kms inventory search-protected-resources \
  --keyname=KEY_NAME \
  --scope=organizations/ORGANIZATION_ID \
  --filter="name:RESOURCE_NAME" \
  --flatten="cryptoKeyVersions" \
  --format="value(cryptoKeyVersions)"

Ersetzen Sie Folgendes:

  • KEY_NAME: Der Name des Schlüssels, für den Sie Schlüsselversionen auflisten möchten.
  • ORGANIZATION_ID: die numerische ID Ihrer Organisation.
  • RESOURCE_NAME: Der Name der Ressource, für die Sie Schlüsselversionen auflisten möchten.

Beschränkungen

Beachten Sie bei der Verwendung des Trackings der Schlüsselnutzung Folgendes:

  • Das Tracking der Schlüsselnutzung ist nur für die Nutzung von CMEK-Schlüsseln verfügbar. Wenn Sie in Ihren Anwendungen innerhalb oder außerhalb von Google Cloudeine Schlüsselversion verwenden, wird diese Nutzung nicht auf dem Tab Nutzungsaufzeichnung berücksichtigt.
  • Einige CMEK-Ressourcen werden nicht erfasst. Bei Ressourcentypen, die nicht in der Liste Gemessene Ressourcentypen aufgeführt sind, sind Informationen zur Schlüsselnutzung möglicherweise nicht in den Details zur Schlüsselnutzung enthalten. Die Schlüsselnutzung durch Datastream zum Verschlüsseln von ConnectionProfile-Ressourcen (datastream.googleapis.com/ConnectionProfile) wird beispielsweise nicht auf dem Tab Nutzungsaufzeichnung angezeigt.
  • Die Daten sind möglicherweise erst später verfügbar. Wenn Sie beispielsweise eine neue geschützte Ressource erstellen, werden die geschützte Ressource und die zugehörige Schlüsselversion nicht sofort dem Tab Nutzungsaufzeichnung hinzugefügt.
  • Für Daten zur Verwendung von Cloud Storage-Schlüsseln gelten die folgenden zusätzlichen Einschränkungen:
    • Daten zur Schlüsselnutzung werden von Objekten in Bucket aggregiert. Objektnamen werden nicht angezeigt. Für einen Bucket wird angezeigt, dass er einen Schlüssel verwendet, wenn er mindestens ein Objekt mit diesem Schlüssel enthält.
    • Für Buckets, die Objekte enthalten, die mit über 4.000 eindeutigen Schlüsselversionen geschützt sind, ist die Schlüsselnutzungsaufzeichnung möglicherweise nicht vollständig.
  • Details zum Tracking der Schlüsselnutzung dienen nur zu Informationszwecken. Führen Sie Ihre eigene Due-Diligence-Prüfung mit anderen Quellen durch, bevor Sie Änderungen vornehmen, die zu Ausfällen oder Datenverlusten führen können. Deaktivieren oder löschen Sie Schlüsselversionen nicht nur anhand von Informationen zur Schlüsselnutzung.

Gemessene Ressourcentypen

Die folgenden Ressourcentypen werden unterstützt:

    Dienst Ressource
    AI Applications discoveryengine.googleapis.com/DataStore
    AlloyDB for PostgreSQL alloydb.googleapis.com/Backup
    AlloyDB for PostgreSQL alloydb.googleapis.com/Cluster
    Apigee API-Hub apihub.googleapis.com/ApiHubInstance
    Artifact Registry artifactregistry.googleapis.com/Repository
    BigQuery bigquery.googleapis.com/Dataset
    BigQuery bigquery.googleapis.com/Model
    BigQuery bigquery.googleapis.com/Table
    BigQuery bigquerydatatransfer.googleapis.com/TransferConfig
    Bigtable bigtableadmin.googleapis.com/Backup
    Bigtable bigtableadmin.googleapis.com/Cluster
    Bigtable bigtableadmin.googleapis.com/Table
    Cloud Composer composer.googleapis.com/Environment
    Cloud Data Fusion datafusion.googleapis.com/Instance
    Cloud Healthcare API healthcare.googleapis.com/Dataset
    Cloud Logging logging.googleapis.com/LogBucket
    Cloud Run run.googleapis.com/Revision
    Cloud Run-Funktionen cloudfunctions.googleapis.com/CloudFunction
    Cloud Run-Funktionen cloudfunctions.googleapis.com/Function
    Cloud SQL sqladmin.googleapis.com/BackupRun
    Cloud SQL sqladmin.googleapis.com/Instance
    Cloud Storage storage.googleapis.com/Bucket
    Cloud Workstations workstations.googleapis.com/Workstation
    Cloud Workstations workstations.googleapis.com/WorkstationConfig
    Compute Engine compute.googleapis.com/Disk
    Compute Engine compute.googleapis.com/Image
    Compute Engine compute.googleapis.com/MachineImage
    Compute Engine compute.googleapis.com/Snapshot
    Database Migration Service datamigration.googleapis.com/MigrationJob
    Database Migration Service datamigration.googleapis.com/ConnectionProfile
    Dataflow dataflow.googleapis.com/Job
    Dataproc dataproc.googleapis.com/Cluster
    Dataproc dataproc.googleapis.com/Batch
    Dataproc Metastore metastore.googleapis.com/Service
    Datastream datastream.googleapis.com/Stream
    Document AI documentai.googleapis.com/HumanReviewConfig
    Document AI documentai.googleapis.com/Processor
    Document AI documentai.googleapis.com/ProcessorVersion
    Filestore file.googleapis.com/Instance
    Filestore file.googleapis.com/Backup
    Firestore firestore.googleapis.com/Database
    Firestore datastore.googleapis.com/Database
    Google Agentspace Enterprise discoveryengine.googleapis.com/DataStore
    Google Kubernetes Engine container.googleapis.com/Cluster
    Looker (Google Cloud Core) looker.googleapis.com/Instance
    Memorystore for Redis redis.googleapis.com/Instance
    Migrate to Virtual Machines vmmigration.googleapis.com/Source
    Pub/Sub pubsub.googleapis.com/Topic
    Secret Manager secretmanager.googleapis.com/Secret
    Secret Manager secretmanager.googleapis.com/SecretVersion
    Secure Source Manager securesourcemanager.googleapis.com/Instance
    Spanner spanner.googleapis.com/Database
    Vertex AI aiplatform.googleapis.com/Dataset
    Vertex AI aiplatform.googleapis.com/Featurestore
    Vertex AI aiplatform.googleapis.com/Tensorboard
    Vertex AI aiplatform.googleapis.com/BatchPredictionJob
    Vertex AI aiplatform.googleapis.com/CustomJob
    Vertex AI aiplatform.googleapis.com/Endpoint
    Vertex AI aiplatform.googleapis.com/Model
    Vertex AI aiplatform.googleapis.com/TrainingPipeline
    Vertex AI aiplatform.googleapis.com/PipelineJob
    Vertex AI aiplatform.googleapis.com/MetadataStore
    Vertex AI Workbench-Instanzen notebooks.googleapis.com/Instance
    Workflows workflows.googleapis.com/Workflow