Visualizzare le chiavi per progetto

Questa pagina mostra come visualizzare i mazzi di chiavi e le chiavi nella risorsa del progetto Google Cloud.

Prima di iniziare

Prima di poter visualizzare i portachiavi e le chiavi, completa i passaggi di configurazione descritti in questa sezione.

Abilita API

Per visualizzare i portachiavi e le chiavi utilizzando un'API, abilita l'API Cloud KMS Inventory.

Abilitare l'API

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per visualizzare le chiavi, chiedi all'amministratore di concederti il ruolo IAM Visualizzatore Cloud KMS (roles/cloudkms.viewer) nel progetto. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Questo ruolo predefinito contiene le autorizzazioni necessarie per visualizzare le chiavi. Per visualizzare le autorizzazioni esatte richieste, espandi la sezione Autorizzazioni richieste:

Autorizzazioni obbligatorie

Per visualizzare le chiavi sono necessarie le seguenti autorizzazioni:

  • cloudkms.keyRings.list
  • cloudkms.cryptoKeys.list
  • cloudkms.locations.list
  • resourcemanager.projects.get

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Visualizzare i keyring

Console

  1. Nella console Google Cloud, vai alla pagina Porta chiavi.

    Vai a Maglie

  2. (Facoltativo) Per filtrare l'elenco di portachiavi, inserisci i termini di ricerca nella casella Filtro filter_list e premi Invio.

  3. (Facoltativo) Per ordinare l'elenco in base ai valori di una colonna, fai clic sull'intestazione della colonna.

Mentre visualizzi i keyring, puoi selezionarne uno per visualizzare i dettagli delle chiavi e dei job di importazione associati.

Visualizza chiavi

Utilizza la console Google Cloud per visualizzare le chiavi create nella risorsa del progetto.

Console

  1. Nella console Google Cloud, vai alla pagina Inventario chiavi.

    Vai a Inventario chiavi

  2. (Facoltativo) Per filtrare l'elenco di chiavi, inserisci i termini di ricerca nella casella Filtro filter_list e premi Invio.

  3. (Facoltativo) Per ordinare l'elenco in base ai valori di una colonna, fai clic sull'intestazione della colonna.

Interfaccia a riga di comando gcloud

Per utilizzare Cloud KMS sulla riga di comando, esegui l'installazione o l'upgrade alla versione più recente di Google Cloud CLI.

gcloud kms inventory list-keys --project PROJECT_ID

Sostituisci PROJECT_ID con il nome del progetto per cui vuoi visualizzare l'elenco delle chiavi.

Per informazioni su tutti i flag e i possibili valori, esegui il comando con il flag --help.

API

Questi esempi utilizzano curl come client HTTP per dimostrare l'utilizzo dell'API. Per ulteriori informazioni sul controllo dell'accesso, consulta Accedere all'API Cloud KMS. 

curl "https://kmsinventory.googleapis.com/v1/projects/PROJECT_ID/cryptoKeys"
    --request "GET" \
    --header "x-goog-user-project: CALLING_PROJECT_ID"
    --header "Content-Type: application/json" \
    --header "Authorization: Bearer TOKEN"

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto che contiene la chiave automatizzata.
  • CALLING_PROJECT_ID: l'ID del progetto da cui stai chiamando l'API KMS Inventory.

Mentre visualizzi le chiavi, puoi selezionarne una per visualizzarne i dettagli, incluse le versioni associate.

Dettagli chiave

L'inventario delle chiavi fornisce informazioni complete sulle chiavi cryptographic nel progetto. Le proprietà nell'inventario delle chiavi includono:

  • Nome chiave: il nome della chiave.
  • Stato: lo stato attuale della chiave in base allo stato della versione della chiave principale. Questo campo si applica solo alle chiavi simmetriche.
    • Disponibile: la versione della chiave primaria è attivata. La chiave è disponibile per essere utilizzata per criptare e decriptare i dati.
    • Non disponibile: la versione della chiave primaria è disabilitata o vuota. La chiave non è disponibile per la crittografia dei dati.
    • Disponibile in Google Cloud: per le chiavi gestite esternamente, la chiave (non necessariamente la chiave gestita esternamente stessa) è disponibile per l'utilizzo.
  • Key ring: il nome del keyring principale.
  • Posizione: posizione in cui risiede il materiale della chiave.
  • Rotazione corrente: la data e l'ora dell'ultima rotazione della chiave. Questo campo mostra quando è stata creata la versione corrente della chiave.
  • Frequenza di rotazione: la frequenza di rotazione corrente della chiave.
  • Prossima rotazione: la data della prossima rotazione pianificata della chiave. In questa data verrà creata automaticamente una nuova versione della chiave.
  • Livello di protezione: il livello di protezione della chiave, ad esempio HSM o software.
  • Connessione EKM tramite VPC: per le chiavi esterne a cui si accede tramite VPC, il nome della connessione EKM tramite VPC utilizzata dalla chiave. Questo campo è nascosto per impostazione predefinita ed è vuoto per le chiavi con livelli di protezione diversi da External via VPC.
  • Scopo: lo scenario in cui la chiave può essere utilizzata.
  • Etichette: le etichette applicate alla chiave.

Limitazioni

  • La scheda Portachiavi può mostrare al massimo 1000 risorse (inclusi portachiavi, chiavi e versioni di chiavi) per posizione. Per visualizzare i portachiavi per un progetto e una località con più di 1000 risorse, utilizza l'API keyRings.list.

  • La scheda Inventario chiavi può mostrare al massimo 20.000 risorse (inclusi keyring, chiavi e versioni di chiavi) per progetto. Per visualizzare le chiavi di un progetto con più di 20.000 risorse, utilizza l'API keyRings.cryptoKeys.list.