按项目查看密钥

本页介绍了如何在 Google Cloud 项目资源中查看密钥环和密钥。

准备工作

在查看密钥环和密钥之前，请完成本部分中所述的设置步骤。

启用 API

如需使用 API 查看密钥环和密钥，请启用 Cloud KMS Inventory API。

启用 API

所需的角色

如需获得查看密钥所需的权限，请让您的管理员为您授予项目的 Cloud KMS Viewer (roles/cloudkms.viewer) IAM 角色。如需详细了解如何授予角色，请参阅管理对项目、文件夹和组织的访问权限。

此预定义角色包含查看密钥所需的权限。如需查看所需的确切权限，请展开所需权限部分：

您也可以使用自定义角色或其他预定义角色来获取这些权限。

查看密钥环

在查看密钥环时，您可以选择一个密钥环，以查看有关关联密钥和导入作业的详细信息。

查看密钥

使用 Google Cloud 控制台查看在项目资源中创建的密钥。

gcloud kms inventory list-keys --project PROJECT_ID

curl "https://kmsinventory.googleapis.com/v1/projects/PROJECT_ID/cryptoKeys"
    --request "GET" \
    --header "x-goog-user-project: CALLING_PROJECT_ID"
    --header "Content-Type: application/json" \
    --header "Authorization: Bearer TOKEN"

在查看密钥时，您可以选择一个密钥来查看有关该密钥的详细信息，包括其关联的密钥版本。

重要详细信息

密钥清单提供有关项目中加密密钥的全面信息。密钥资源中的属性包括：

• 密钥名称：密钥的名称。
• 状态：根据主密钥版本的状态得出的当前密钥状态。此字段仅适用于对称密钥。
  • 可用：主密钥版本已启用。密钥可用于加密和解密数据。
  • 不可用：主密钥版本已停用或为空。该密钥无法用于加密数据。
  • 在 GCP 中可用：对于由外部管理的密钥，该密钥（不一定是由外部管理的密钥本身）可供使用。
• 密钥环：父密钥环的名称。
• 位置：密钥材料所在的位置。
• 当前轮替：上次轮替密钥的日期和时间。此字段显示当前密钥版本的创建时间。
• 轮替频率：密钥的当前轮替频率。
• 下次轮替：安排下一次密钥轮替的日期。系统将在此日期自动创建新的密钥版本。
• 保护级别：密钥的保护级别，例如 HSM 或软件。
• 通过 VPC 连接的 EKM：对于通过 VPC 访问的外部密钥，该密钥使用的通过 VPC 连接的 EKM 的名称。此字段默认处于隐藏状态，对于保护级别不是 External via VPC 的密钥，此字段为空。
• 用途：可能使用密钥的场景。
• 标签：应用于密钥的标签。

限制

• 密钥环标签页最多可显示每个位置的 1,000 个资源（包括密钥环、密钥和密钥版本）。如需查看包含 1,000 多个资源的特定项目和位置的密钥环，请使用 keyRings.list API。

• 密钥清单标签页最多可显示每个项目 20,000 项资源（包括密钥环、密钥和密钥版本）。如需查看包含 2 万多个资源的项目中的密钥，请使用 keyRings.cryptoKeys.list API。