Schlüsselnutzung ansehen

Auf dieser Seite erfahren Sie, wie Sie die Google Cloud -Ressourcen in Ihrer Organisation ansehen, die durch Ihre Cloud KMS-Schlüssel geschützt sind. Die Schlüsselverwendungsanalyse ist nur für Organisationsressourcen verfügbar.

Informationen zu den Ressourcen, die durch Ihre Schlüssel geschützt werden, können Sie auf zwei Ebenen aufrufen:

  • Die Informationen zur Zusammenfassung der Schlüsselnutzung für jeden Schlüssel umfassen die Anzahl der geschützten Ressourcen, Projekte und eindeutigen Google Cloud Produkte, die den Schlüssel verwenden. Diese Detailtiefe ist für alle verfügbar, die die Rolle „Cloud KMS Viewer“ für den Schlüssel haben.
  • Die Informationen unter Key usage detail (Details zur Schlüsselverwendung) geben an, welche Ressourcen durch diesen Schlüssel geschützt werden und von ihm abhängen. Diese Detailebene ist privilegiert und nur für Konten mit der Rolle „Betrachter von geschützten Ressourcen in Cloud KMS“ für die Organisation verfügbar.

Hinweise

Auf dieser Seite wird davon ausgegangen, dass Sie Cloud KMS in einerGoogle Cloud Organisationsressource verwenden.

  1. Bitten Sie Ihren Organisationsadministrator, Ihrem Cloud KMS-Dienstkonto die Rolle „Cloud KMS Organization Service Agent“ (cloudkms.orgServiceAgent) für Ihre Organisationsressource zu gewähren. Diese Rolle ist in der Google Cloud -Konsole nicht verfügbar. Sie müssen die gcloud CLI verwenden, um die Rolle zuzuweisen:

    gcloud-CLI

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member=serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-cloudkms.iam.gserviceaccount.com \
    --role=roles/cloudkms.orgServiceAgent

    Ersetzen Sie ORGANIZATION_ID durch die numerische ID Ihrer Organisation.

  2. Gewähren Sie allen, die Zusammenfassungen zur Schlüsselnutzung ansehen müssen, die Rolle „Cloud KMS-Betrachter“ (roles/cloudkms.viewer). Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

  3. Gewähren Sie die Rolle „Betrachter von geschützten Cloud KMS-Ressourcen“ (roles/cloudkms.protectedResourcesViewer) für Ihre Organisationsressource allen, die Details zur Schlüsselnutzung ansehen müssen. Diese Rolle ist in der Google Cloud Console nicht verfügbar. Sie müssen die gcloud CLI verwenden, um die Rolle zuzuweisen:

    gcloud-CLI

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member=user:USER_EMAIL \
    --role=roles/cloudkms.protectedResourcesViewer

    Ersetzen Sie Folgendes:

    • ORGANIZATION_ID: die numerische ID Ihrer Organisation.
    • USER_EMAIL: die E-Mail-Adresse des Nutzers.

  4. Aktivieren Sie die Cloud KMS Inventory API.

    API aktivieren

Informationen zur Schlüsselnutzung ansehen

Console

  1. Rufen Sie in der Google Cloud Console die Seite Schlüsselinventar auf.

    Schlüsselinventar aufrufen

  2. Optional: Wenn Sie die Liste der Schlüssel filtern möchten, geben Sie Ihre Suchbegriffe in das Feld Filter filter_list ein und drücken Sie die Eingabetaste. Sie können beispielsweise nach Standort, Schlüsselbund, Status oder anderen Eigenschaften der Schlüssel filtern.

  3. Klicken Sie auf den Namen des Schlüssels, für den Sie Nutzungsinformationen aufrufen möchten.

  4. Klicken Sie auf den Tab Nutzungs-Tracking.

  5. Optional: Wenn Sie die Liste der geschützten Ressourcen filtern möchten, geben Sie Ihre Suchbegriffe in das Feld Filter filter_list ein und drücken Sie die Eingabetaste.

Für den ausgewählten Schlüssel werden eine Zusammenfassung und Details zur Schlüsselnutzung angezeigt.

gcloud-CLI

Wenn Sie Cloud KMS in der Befehlszeile verwenden möchten, müssen Sie zuerst Google Cloud CLI installieren oder ein Upgrade ausführen.

Verwenden Sie die Methode get-protected-resources-summary, um die Zusammenfassung der Schlüsselnutzung aufzurufen:

gcloud kms inventory get-protected-resources-summary \
    --keyname  projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME \

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Projekts, das den Schlüsselbund enthält.
  • LOCATION: der Cloud KMS-Speicherort des Schlüsselbunds.
  • KEY_RING: der Name des Schlüsselbunds, der den Schlüssel enthält
  • KEY_NAME: Der Name des Schlüssels, für den Sie die Zusammenfassung der Nutzung aufrufen möchten.

Mit der Methode search-protected-resources können Sie Details zur Schlüsselnutzung aufrufen:

gcloud kms inventory search-protected-resources \
    --keyname  projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME \
    --scope=organizations/ORGANIZATION_ID

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Projekts, das den Schlüsselbund enthält.
  • LOCATION: der Cloud KMS-Speicherort des Schlüsselbunds.
  • KEY_RING: der Name des Schlüsselbunds, der den Schlüssel enthält
  • KEY_NAME: Der Name des Schlüssels, für den Sie Nutzungsdetails aufrufen möchten.
  • ORGANIZATION_ID: die numerische ID Ihrer Organisation.

API

In diesen Beispielen wird curl als HTTP-Client verwendet, um die Verwendung der API zu demonstrieren. Weitere Informationen zur Zugriffssteuerung finden Sie unter Auf die Cloud KMS API zugreifen.

Verwenden Sie die Methode cryptoKeys.getProtectedResourcesSummary, um die Zusammenfassung der Schlüsselnutzung aufzurufen:

curl  "https://kmsinventory.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/protectedResourcesSummary"
    --request "GET" \
    --header "x-goog-user-project: CALLING_PROJECT_ID"
    --header "Content-Type: application/json" \
    --header "Authorization: Bearer TOKEN"

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Projekts, das den Schlüsselbund enthält.
  • LOCATION: der Cloud KMS-Speicherort des Schlüsselbunds.
  • KEY_RING: der Name des Schlüsselbunds, der den Schlüssel enthält
  • KEY_NAME: Der Name des Schlüssels, für den Sie die Zusammenfassung der Nutzung aufrufen möchten.
  • CALLING_PROJECT_ID: die ID des Projekts, aus dem Sie die KMS Inventory API aufrufen.

Mit der Methode protectedResources.search können Sie Details zur Schlüsselnutzung aufrufen:

curl "https://kmsinventory.googleapis.com/v1/organizations/ORGANIZATION_ID/protectedResources:search?crypto_key=projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME"
    --request "GET" \
    --header "x-goog-user-project: CALLING_PROJECT_ID"
    --header "Content-Type: application/json" \
    --header "Authorization: Bearer TOKEN"

Ersetzen Sie Folgendes:

  • ORGANIZATION_ID: die numerische ID Ihrer Organisation.
  • PROJECT_ID: die ID des Projekts, das den Schlüsselbund enthält.
  • LOCATION: der Cloud KMS-Speicherort des Schlüsselbunds.
  • KEY_RING: der Name des Schlüsselbunds, der den Schlüssel enthält
  • KEY_NAME: Der Name des Schlüssels, für den Sie Nutzungsdetails aufrufen möchten.
  • CALLING_PROJECT_ID: die ID des Projekts, aus dem Sie die KMS Inventory API aufrufen.

Details zur Schlüsselverwendung

Zu den Nutzungsdetails der geschützten Ressourcen, die mit dem ausgewählten Schlüssel verschlüsselt sind, gehören:

  • Name: Der Name der Google Cloud -Ressource, die durch den ausgewählten Schlüssel geschützt ist.
  • Projekt: Der Name des Projekts, das die geschützte Ressource enthält.
  • Crypto-Schlüsselversion: Die Schlüsselversion, die zum Verschlüsseln dieser Ressource verwendet wird. Für einige geschützte Ressourcen wird die Version des kryptografischen Schlüssels nicht gemeldet.
  • Cloud-Produkt: Das Google Cloud Produkt, das dieser Ressource zugeordnet ist.
  • Ressourcentyp: Der Typ der geschützten Ressource, z. B. „Bucket“ (Cloud Storage) oder „Disk“ (Compute Engine).
  • Standort: Die Google Cloud Region, die der Ressource zugeordnet ist.
  • Erstellungsdatum: Der Zeitpunkt, zu dem die Ressource erstellt wurde.
  • Labels: Eine Reihe von Schlüssel/Wert-Paaren, die der Ressource zugeordnet sind.

Schlüsselversionen auflisten, die eine Ressource schützen

Wenn eine Ressource durch mehrere Schlüsselversionen geschützt ist, wird auf dem Tab Nutzungstracking möglicherweise nicht die vollständige Liste der Schlüsselversionen angezeigt.

Wenn Sie die Schlüsselversionen auflisten möchten, die eine Ressource schützen, führen Sie den folgenden Befehl mit der gcloud CLI aus:

gcloud beta kms inventory search-protected-resources \
  --keyname=KEY_NAME \
  --scope=organizations/ORGANIZATION_ID \
  --filter="name:RESOURCE_NAME" \
  --flatten="cryptoKeyVersions" \
  --format="value(cryptoKeyVersions)"

Ersetzen Sie Folgendes:

  • KEY_NAME: Der Name des Schlüssels, für den Sie Schlüsselversionen auflisten möchten.
  • ORGANIZATION_ID: die numerische ID Ihrer Organisation.
  • RESOURCE_NAME: Der Name der Ressource, für die Sie Schlüsselversionen auflisten möchten.

Beschränkungen

Beachten Sie bei der Verwendung des Trackings der Schlüsselnutzung Folgendes:

  • Die Nachverfolgung der Schlüsselnutzung ist nur für die Nutzung von CMEK-Schlüsseln verfügbar. Wenn Sie eine Schlüsselversion in Ihren Anwendungen innerhalb oder außerhalb von Google Cloudverwenden, wird diese Nutzung nicht auf dem Tab Nutzungstracking berücksichtigt.
  • Einige CMEK-Ressourcen werden nicht erfasst. Für Ressourcentypen, die nicht unter Erfasste Ressourcentypen aufgeführt sind, sind Informationen zur Schlüsselnutzung möglicherweise nicht in den Details zur Schlüsselnutzung enthalten. Die Schlüsselverwendung durch Datastream zum Verschlüsseln von ConnectionProfile-Ressourcen (datastream.googleapis.com/ConnectionProfile) wird beispielsweise nicht auf dem Tab Nutzungstracking angezeigt.
  • Die Daten sind möglicherweise erst später verfügbar. Wenn Sie beispielsweise eine neue geschützte Ressource erstellen, werden die geschützte Ressource und die zugehörige Schlüsselversion nicht sofort auf dem Tab Nutzungsanalyse angezeigt.
  • Für Cloud Storage-Schlüsselnutzungsdaten gelten die folgenden zusätzlichen Einschränkungen:
    • Daten zur Schlüsselnutzung werden von Objekten zu Buckets zusammengefasst. Objektnamen werden nicht angezeigt. Ein Bucket wird als Bucket angezeigt, der einen Schlüssel verwendet, wenn er mindestens ein Objekt enthält, das diesen Schlüssel verwendet.
    • Die Schlüsselverwendungsanalyse ist möglicherweise nicht vollständig für Buckets, die Objekte mit mehr als 4.000 eindeutigen Schlüsselversionen enthalten.
  • Details zum Tracking der Schlüsselnutzung dienen nur zu Informationszwecken. Führen Sie Ihre eigene Due Diligence mit anderen Quellen durch, bevor Sie Änderungen vornehmen, die zu Ausfällen oder Datenverlust führen könnten. Deaktivieren oder löschen Sie Schlüsselversionen nicht nur anhand von Informationen zur Schlüsselnutzung.

Erfasste Ressourcentypen

Die folgenden Ressourcentypen werden unterstützt:

    Dienst Ressource
    AI Applications discoveryengine.googleapis.com/DataStore
    AlloyDB for PostgreSQL alloydb.googleapis.com/Backup
    AlloyDB for PostgreSQL alloydb.googleapis.com/Cluster
    Apigee API-Hub apihub.googleapis.com/ApiHubInstance
    Artifact Registry artifactregistry.googleapis.com/Repository
    BigQuery bigquery.googleapis.com/Dataset
    BigQuery bigquery.googleapis.com/Model
    BigQuery bigquery.googleapis.com/Table
    BigQuery bigquerydatatransfer.googleapis.com/TransferConfig
    Bigtable bigtableadmin.googleapis.com/Backup
    Bigtable bigtableadmin.googleapis.com/Cluster
    Bigtable bigtableadmin.googleapis.com/Table
    Cloud Composer composer.googleapis.com/Environment
    Cloud Data Fusion datafusion.googleapis.com/Instance
    Cloud Healthcare API healthcare.googleapis.com/Dataset
    Cloud Logging logging.googleapis.com/LogBucket
    Cloud Run run.googleapis.com/Revision
    Cloud Run-Funktionen cloudfunctions.googleapis.com/CloudFunction
    Cloud Run-Funktionen cloudfunctions.googleapis.com/Function
    Cloud SQL sqladmin.googleapis.com/BackupRun
    Cloud SQL sqladmin.googleapis.com/Instance
    Cloud Storage storage.googleapis.com/Bucket
    Cloud Workstations workstations.googleapis.com/Workstation
    Cloud Workstations workstations.googleapis.com/WorkstationConfig
    Compute Engine compute.googleapis.com/Disk
    Compute Engine compute.googleapis.com/Image
    Compute Engine compute.googleapis.com/MachineImage
    Compute Engine compute.googleapis.com/Snapshot
    Database Migration Service datamigration.googleapis.com/MigrationJob
    Database Migration Service datamigration.googleapis.com/ConnectionProfile
    Dataflow dataflow.googleapis.com/Job
    Dataproc dataproc.googleapis.com/Cluster
    Dataproc dataproc.googleapis.com/Batch
    Dataproc Metastore metastore.googleapis.com/Service
    Datastream datastream.googleapis.com/Stream
    Document AI documentai.googleapis.com/HumanReviewConfig
    Document AI documentai.googleapis.com/Processor
    Document AI documentai.googleapis.com/ProcessorVersion
    Filestore file.googleapis.com/Instance
    Filestore file.googleapis.com/Backup
    Firestore firestore.googleapis.com/Database
    Firestore datastore.googleapis.com/Database
    Google Agentspace Enterprise discoveryengine.googleapis.com/DataStore
    Google Kubernetes Engine container.googleapis.com/Cluster
    Looker (Google Cloud Core) looker.googleapis.com/Instance
    Memorystore for Redis redis.googleapis.com/Instance
    Migrate to Virtual Machines vmmigration.googleapis.com/Source
    Pub/Sub pubsub.googleapis.com/Topic
    Secret Manager secretmanager.googleapis.com/Secret
    Secret Manager secretmanager.googleapis.com/SecretVersion
    Secure Source Manager securesourcemanager.googleapis.com/Instance
    Spanner spanner.googleapis.com/Database
    Vertex AI aiplatform.googleapis.com/Dataset
    Vertex AI aiplatform.googleapis.com/Featurestore
    Vertex AI aiplatform.googleapis.com/Tensorboard
    Vertex AI aiplatform.googleapis.com/BatchPredictionJob
    Vertex AI aiplatform.googleapis.com/CustomJob
    Vertex AI aiplatform.googleapis.com/Endpoint
    Vertex AI aiplatform.googleapis.com/Model
    Vertex AI aiplatform.googleapis.com/TrainingPipeline
    Vertex AI aiplatform.googleapis.com/PipelineJob
    Vertex AI aiplatform.googleapis.com/MetadataStore
    Vertex AI Workbench-Instanzen notebooks.googleapis.com/Instance
    Workflows workflows.googleapis.com/Workflow