本页介绍了如何在 Google Cloud 项目资源中查看密钥环和密钥。
准备工作
您必须先完成本部分中所述的设置步骤,然后才能查看密钥环和密钥。
启用 API
如需使用 API 查看密钥串和密钥,请启用 Cloud KMS 目录 API。
所需的角色
如需获得查看密钥所需的权限,请让您的管理员为您授予项目的 Cloud KMS Viewer (roles/cloudkms.viewer) IAM 角色。
如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
此预定义角色包含查看密钥所需的权限。如需查看所需的确切权限,请展开所需权限部分:
所需权限
如需查看密钥,您需要具备以下权限:
-
cloudkms.keyRings.list -
cloudkms.cryptoKeys.list -
cloudkms.locations.list -
resourcemanager.projects.get
查看密钥环
控制台
在 Google Cloud 控制台中,前往密钥串页面。
可选:如需过滤钥匙串列表,请在 filter_list Filter 框中输入搜索字词,然后按 Enter 键。
可选:如要按某个列中的值对列表进行排序,请点击该列的标题。
查看密钥环时,您可以选择一个密钥环,以查看与之关联的密钥和导入作业的详细信息。
查看密钥
使用 Google Cloud 控制台查看在项目资源中创建的密钥。
控制台
在 Google Cloud 控制台中,前往密钥目录页面。
可选:如需过滤按键列表,请在 filter_list Filter 框中输入搜索字词,然后按 Enter 键。
可选:如要按某个列中的值对列表进行排序,请点击该列的标题。
gcloud CLI
如需在命令行上使用 Cloud KMS,请先安装或升级到最新版本的 Google Cloud CLI。
gcloud kms inventory list-keys --project PROJECT_ID
将 PROJECT_ID 替换为您要查看其密钥列表的项目的名称。
如需了解所有标志和可能值,请使用 --help 标志运行命令。
API
这些示例使用 curl 作为 HTTP 客户端来演示如何使用 API。如需详细了解访问权限控制,请参阅访问 Cloud KMS API。
curl "https://kmsinventory.googleapis.com/v1/projects/PROJECT_ID/cryptoKeys"
--request "GET" \
--header "x-goog-user-project: CALLING_PROJECT_ID"
--header "Content-Type: application/json" \
--header "Authorization: Bearer TOKEN"替换以下内容:
PROJECT_ID:包含密钥环的项目的 ID。CALLING_PROJECT_ID:您要从中调用 KMS Inventory API 的项目的 ID。
查看密钥时,您可以选择一个密钥来查看该密钥的详细信息,包括其关联的密钥版本。
密钥详细信息
密钥目录提供有关项目中加密密钥的全面信息。密钥目录中的属性包括:
- 密钥名称:密钥的名称。
- 状态:根据主密钥版本的状态确定的当前密钥状态。此字段仅适用于对称密钥。
- 可用:主要密钥版本已启用。该密钥可用于加密和解密数据。
- 不可用:主密钥版本已停用或为空。密钥无法用于加密数据。
- 在 GCP 中可用:对于由外部管理的密钥,密钥(不一定是由外部管理的密钥本身)可供使用。
- 密钥环:父级密钥环的名称。
- 位置:密钥材料所在的位置。
- 当前轮替:轮替密钥的最近日期和时间。此字段显示当前密钥版本的创建时间。
- 轮替频率:密钥的当前轮替频率。
- 下次轮替:安排下一次密钥轮替的日期。系统会在此日期自动创建新密钥版本。
- 保护级别:密钥的保护级别,例如 HSM 或软件。
- 通过 VPC 连接的 EKM:对于通过 VPC 访问的外部密钥,是密钥使用的通过 VPC 连接的 EKM 的名称。此字段默认处于隐藏状态,对于保护级别为
External via VPC以外的密钥,此字段为空。 - 用途:可能使用密钥的场景。
- 标签:应用于密钥的标签。
限制
密钥环标签页中每个位置最多可显示 1,000 个资源(包括密钥环、密钥和密钥版本)。如需查看包含 1,000 多个资源的项目和位置的钥匙串,请使用 keyRings.list API。
密钥目录标签页最多可显示每个项目的 20,000 项资源(包括密钥环、密钥和密钥版本)。如需查看资源数量超过 2 万的项目的密钥,请使用 keyRings.cryptoKeys.list API。