Veja a utilização da chave

Esta página mostra como ver os Google Cloud recursos na sua organização que estão protegidos pelas suas chaves do Cloud KMS. A monitorização da utilização de chaves só está disponível nos recursos da organização.

Pode ver informações sobre os recursos que as suas chaves protegem em dois níveis:

  • As informações do resumo da utilização de chaves para cada chave incluem o número de recursos protegidos, projetos e produtos únicos que usam a chave. Google Cloud Este nível de detalhe está disponível para qualquer pessoa com a função de visualizador do Cloud KMS na chave.
  • As informações dos detalhes de utilização da chave identificam os recursos protegidos por esta chave e que dependem dela. Este nível de detalhe é privilegiado e só está disponível para contas com a função de leitor de recursos protegidos do Cloud KMS na organização.

Antes de começar

Esta página pressupõe que está a usar o Cloud KMS num Google Cloud recurso de organização.

  1. Peça ao administrador da sua organização para conceder à conta de serviço do Cloud KMS a função de agente de serviço da organização do Cloud KMS (roles/cloudkms.orgServiceAgent) no recurso da sua organização. Esta função não está disponível na Google Cloud consola, pelo que tem de usar a CLI gcloud para conceder a função:

    CLI gcloud

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member=serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-cloudkms. \
    --role=roles/cloudkms.orgServiceAgent

    Substitua ORGANIZATION_ID pelo ID numérico da sua organização.

  2. Conceda a função de visitante do Cloud KMS (roles/cloudkms.viewer) a qualquer pessoa que precise de ver resumos de utilização de chaves. Para obter informações sobre a concessão de funções, consulte o artigo Gerir acesso.

  3. Conceda a função de visualizador de recursos protegidos do Cloud KMS (roles/cloudkms.protectedResourcesViewer) no recurso da sua organização a qualquer pessoa que precise de ver detalhes de utilização das chaves. Esta função não está disponível na consola Google Cloud , pelo que tem de usar a CLI gcloud para conceder a função:

    CLI gcloud

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member=user:USER_EMAIL \
    --role=roles/cloudkms.protectedResourcesViewer

    Substitua o seguinte:

    • ORGANIZATION_ID: o ID numérico da sua organização.
    • USER_EMAIL: o endereço de email do utilizador.

  4. Ative a API Cloud KMS Inventory.

    Ative a API

Veja informações de utilização de chaves

Consola

  1. Na Google Cloud consola, aceda à página Inventário principal.

    Aceda ao inventário principal

  2. Opcional: para filtrar a lista de chaves, introduza os termos de pesquisa na caixa filter_list Filtrar e, de seguida, prima Enter. Por exemplo, pode filtrar por localização, anel chave, estado ou outras propriedades das chaves.

  3. Clique no nome da chave para a qual quer ver informações de utilização.

  4. Clique no separador Acompanhamento da utilização.

  5. Opcional: para filtrar a lista de recursos protegidos, introduza os termos de pesquisa na caixa filter_list Filtrar e, de seguida, prima Enter.

São apresentados o resumo e os detalhes da utilização da chave selecionada.

CLI gcloud

Para usar o Cloud KMS na linha de comandos, primeiro instale ou atualize para a versão mais recente da CLI do Google Cloud.

Para ver o resumo da utilização de chaves, use o método get-protected-resources-summary:

gcloud kms inventory get-protected-resources-summary \
    --keyname  projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME \

Substitua o seguinte:

  • PROJECT_ID: o ID do projeto que contém o conjunto de chaves.
  • LOCATION: a localização do Cloud KMS do conjunto de chaves.
  • KEY_RING: o nome do conjunto de chaves que contém a chave.
  • KEY_NAME: o nome da chave para a qual quer ver o resumo de utilização.

Para ver detalhes da utilização de chaves, use o método search-protected-resources:

gcloud kms inventory search-protected-resources \
    --keyname  projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME \
    --scope=organizations/ORGANIZATION_ID

Substitua o seguinte:

  • PROJECT_ID: o ID do projeto que contém o conjunto de chaves.
  • LOCATION: a localização do Cloud KMS do conjunto de chaves.
  • KEY_RING: o nome do conjunto de chaves que contém a chave.
  • KEY_NAME: o nome da chave para a qual quer ver os detalhes de utilização.
  • ORGANIZATION_ID: o ID numérico da sua organização.

API

Estes exemplos usam o curl como cliente HTTP para demonstrar a utilização da API. Para mais informações sobre o controlo de acesso, consulte o artigo Aceder à API Cloud KMS.

Para ver o resumo da utilização de chaves, use o método cryptoKeys.getProtectedResourcesSummary:

curl  "https://kmsinventory.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/protectedResourcesSummary"
    --request "GET" \
    --header "x-goog-user-project: CALLING_PROJECT_ID"
    --header "Content-Type: application/json" \
    --header "Authorization: Bearer TOKEN"

Substitua o seguinte:

  • PROJECT_ID: o ID do projeto que contém o conjunto de chaves.
  • LOCATION: a localização do Cloud KMS do conjunto de chaves.
  • KEY_RING: o nome do conjunto de chaves que contém a chave.
  • KEY_NAME: o nome da chave para a qual quer ver o resumo de utilização.
  • CALLING_PROJECT_ID: o ID do projeto a partir do qual está a chamar a API KMS Inventory.

Para ver detalhes da utilização de chaves, use o método protectedResources.search:

curl "https://kmsinventory.googleapis.com/v1/organizations/ORGANIZATION_ID/protectedResources:search?crypto_key=projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME"
    --request "GET" \
    --header "x-goog-user-project: CALLING_PROJECT_ID"
    --header "Content-Type: application/json" \
    --header "Authorization: Bearer TOKEN"

Substitua o seguinte:

  • ORGANIZATION_ID: o ID numérico da sua organização.
  • PROJECT_ID: o ID do projeto que contém o conjunto de chaves.
  • LOCATION: a localização do Cloud KMS do conjunto de chaves.
  • KEY_RING: o nome do conjunto de chaves que contém a chave.
  • KEY_NAME: o nome da chave para a qual quer ver os detalhes de utilização.
  • CALLING_PROJECT_ID: o ID do projeto a partir do qual está a chamar a API KMS Inventory.

Principais detalhes de utilização

Os detalhes de utilização sobre os recursos protegidos que estão encriptados com a chave selecionada incluem o seguinte:

  • Nome: o nome do Google Cloud recurso protegido pela chave selecionada.
  • Projeto: o nome do projeto que contém o recurso protegido.
  • Versão da chave criptográfica: a versão da chave usada para encriptar este recurso. Alguns recursos protegidos não comunicam a versão da chave criptográfica.
  • Produto na nuvem: o Google Cloud produto associado a este recurso.
  • Tipo de recurso: o tipo de recurso protegido, por exemplo, Bucket (Cloud Storage) ou Disco (Compute Engine).
  • Localização: a Google Cloud região associada ao recurso.
  • Data de criação: a hora em que o recurso foi criado.
  • Etiquetas: um conjunto de pares de chave-valor associados ao recurso.

Liste as versões principais que protegem um recurso

Se um recurso estiver protegido por várias versões de chaves, pode não conseguir ver a lista completa de versões de chaves no separador Acompanhamento da utilização.

Para listar as versões da chave que protegem um recurso, use a CLI gcloud para executar o seguinte comando:

gcloud beta kms inventory search-protected-resources \
  --keyname=KEY_NAME \
  --scope=organizations/ORGANIZATION_ID \
  --filter="name:RESOURCE_NAME" \
  --flatten="cryptoKeyVersions" \
  --format="value(cryptoKeyVersions)"

Substitua o seguinte:

  • KEY_NAME: o nome da chave para a qual quer listar as versões da chave.
  • ORGANIZATION_ID: o ID numérico da sua organização.
  • RESOURCE_NAME: o nome do recurso para o qual quer listar as versões principais.

Limitações

Quando usar a monitorização da utilização de chaves, tenha em atenção o seguinte:

  • A monitorização da utilização de chaves só está disponível para a utilização de chaves CMEK. Se estiver a usar uma versão de chave nas suas aplicações dentro ou fora do Google Cloud, Google Cloudesse uso não é incluído no separador Acompanhamento da utilização.
  • Alguns recursos de CMEK não são acompanhados. Para os tipos de recursos que não estão listados em Tipos de recursos monitorizados, as informações de utilização das chaves podem não estar incluídas nos detalhes de utilização das chaves. Por exemplo, a utilização de chaves pelo fluxo de dados para encriptar recursos ConnectionProfile (datastream.googleapis.com/ConnectionProfile) não é apresentada no separador Acompanhamento da utilização.
  • Os dados podem sofrer um atraso. Por exemplo, se criar um novo recurso protegido, o recurso protegido e a versão da chave associada não são adicionados imediatamente ao separador Acompanhamento da utilização.
  • Os dados de utilização das chaves do Cloud Storage estão sujeitos às seguintes limitações adicionais:
    • Os dados de utilização das chaves são agregados dos objetos para os contentores. Os nomes dos objetos não são apresentados. Um contentor é apresentado como a usar uma chave se tiver, pelo menos, um objeto a usar essa chave.
    • O acompanhamento da utilização de chaves pode não estar completo para contentores que contenham objetos protegidos com mais de 4000 versões de chaves únicas.
  • Os detalhes de acompanhamento da utilização principais destinam-se apenas a fins informativos. Realize a sua própria diligência devida através de outras fontes antes de fazer alterações que possam resultar em indisponibilidades ou perda de dados. Não desative nem destrua versões de chaves com base apenas em informações de acompanhamento da utilização de chaves.

Tipos de recursos acompanhados

São suportados os seguintes tipos de recursos:

    Serviço Recurso
    Aplicações de IA discoveryengine.googleapis.com/DataStore
    AlloyDB para PostgreSQL alloydb.googleapis.com/Backup
    AlloyDB para PostgreSQL alloydb.googleapis.com/Cluster
    Apigee apigee.googleapis.com/Organization
    Apigee apigee.googleapis.com/Instance
    Hub de APIs Apigee apihub.googleapis.com/ApiHubInstance
    Artifact Registry artifactregistry.googleapis.com/Repository
    BigQuery bigquery.googleapis.com/Dataset
    BigQuery bigquery.googleapis.com/Model
    BigQuery bigquery.googleapis.com/Table
    BigQuery bigquerydatatransfer.googleapis.com/TransferConfig
    Bigtable bigtableadmin.googleapis.com/Backup
    Bigtable bigtableadmin.googleapis.com/Cluster
    Bigtable bigtableadmin.googleapis.com/Table
    Cloud Composer composer.googleapis.com/Environment
    Cloud Data Fusion datafusion.googleapis.com/Instance
    API Cloud Healthcare healthcare.googleapis.com/Dataset
    Cloud Logging logging.googleapis.com/LogBucket
    Cloud Run run.googleapis.com/Revision
    Funções do Cloud Run cloudfunctions.googleapis.com/CloudFunction
    Funções do Cloud Run cloudfunctions.googleapis.com/Function
    Cloud SQL sqladmin.googleapis.com/BackupRun
    Cloud SQL sqladmin.googleapis.com/Instance
    Cloud Storage storage.googleapis.com/Bucket
    Cloud Workstations workstations.googleapis.com/Workstation
    Cloud Workstations workstations.googleapis.com/WorkstationConfig
    Compute Engine compute.googleapis.com/Disk
    Compute Engine compute.googleapis.com/Image
    Compute Engine compute.googleapis.com/MachineImage
    Compute Engine compute.googleapis.com/Snapshot
    Database Migration Service datamigration.googleapis.com/MigrationJob
    Database Migration Service datamigration.googleapis.com/ConnectionProfile
    Dataflow dataflow.googleapis.com/Job
    Dataproc dataproc.googleapis.com/Cluster
    Dataproc dataproc.googleapis.com/Batch
    Dataproc Metastore metastore.googleapis.com/Service
    Datastream datastream.googleapis.com/Stream
    Document AI documentai.googleapis.com/HumanReviewConfig
    Document AI documentai.googleapis.com/Processor
    Document AI documentai.googleapis.com/ProcessorVersion
    Filestore file.googleapis.com/Instance
    Filestore file.googleapis.com/Backup
    Firestore firestore.googleapis.com/Database
    Firestore datastore.googleapis.com/Database
    Google Agentspace Enterprise discoveryengine.googleapis.com/DataStore
    Google Kubernetes Engine container.googleapis.com/Cluster
    Looker (Google Cloud Core) looker.googleapis.com/Instance
    Memorystore for Redis redis.googleapis.com/Instance
    Migre para máquinas virtuais vmmigration.googleapis.com/Source
    Pub/Sub pubsub.googleapis.com/Topic
    Secret Manager secretmanager.googleapis.com/Secret
    Secret Manager secretmanager.googleapis.com/SecretVersion
    Secure Source Manager securesourcemanager.googleapis.com/Instance
    Spanner spanner.googleapis.com/Database
    Vertex AI aiplatform.googleapis.com/Dataset
    Vertex AI aiplatform.googleapis.com/Featurestore
    Vertex AI aiplatform.googleapis.com/Tensorboard
    Vertex AI aiplatform.googleapis.com/BatchPredictionJob
    Vertex AI aiplatform.googleapis.com/CustomJob
    Vertex AI aiplatform.googleapis.com/Endpoint
    Vertex AI aiplatform.googleapis.com/Model
    Vertex AI aiplatform.googleapis.com/TrainingPipeline
    Vertex AI aiplatform.googleapis.com/PipelineJob
    Vertex AI aiplatform.googleapis.com/MetadataStore
    Instâncias do Vertex AI Workbench notebooks.googleapis.com/Instance
    Workflows workflows.googleapis.com/Workflow