צפייה בשימוש במפתח

בדף הזה מוסבר איך לראות את המשאבים בארגון שלכם שמוגנים על ידי המפתחות של Cloud KMS. Google Cloud מעקב אחר השימוש במפתחות זמין במשאבי הארגון בארגונים שמשתמשים במודל ריכוזי לניהול מפתחות. אם אתם משתמשים במודל ניהול מפתחות עם הרשאות מוגבלות, תוכלו לראות נתוני מעקב אחר השימוש במפתחות בהיקף של הפרויקט שנבחר.

אפשר לראות מידע על המשאבים שהמפתחות מגנים עליהם בשתי רמות:

  • סיכום השימוש במפתח: כולל את מספר המשאבים המוגנים, הפרויקטים והמוצרים הייחודיים Google Cloud שמשתמשים בכל מפתח. רמת הפירוט הזו זמינה לכל מי שיש לו את התפקיד Cloud KMS Viewer במפתח. ההיקף של נתוני סיכום השימוש במפתחות שאתם יכולים לראות תלוי במודל ניהול המפתחות שלכם.
    • ניהול מפתחות מרכזי: אם לחשבון השירות של Cloud KMS יש את התפקיד סוכן שירות של Cloud KMS בארגון בארגון, תוכלו לראות נתוני סיכום של השימוש במפתחות למשאבים שמוגנים על ידי המפתח, גם למשאבים בפרויקטים אחרים בארגון.
    • ניהול מפתחות בהרשאה מוגבלת: אם לחשבון השירות של Cloud KMS אין תפקיד של סוכן שירות של Cloud KMS בארגון, תוכלו לראות נתוני סיכום של השימוש במפתחות רק למשאבים באותו פרויקט. אם אתם צופים רק בנתוני שימוש במפתחות של אותו פרויקט, בלוח הבקרה מעקב אחר שימוש מוצגת הודעה שמציינת שהיקף הנתונים שמוצגים מוגבל לפרויקט שנבחר.
  • פרטים על השימוש במפתח: רשימה של המשאבים שמוגנים על ידי המפתח הזה ותלויים בו. ההיקף של פרטי השימוש במפתח שאתם יכולים לראות תלוי במודל ניהול המפתחות שלכם.
    • ניהול מפתחות מרכזי: אם יש לכם את התפקיד Cloud KMS Protected Resources Viewer בארגון, ולחשבון השירות של Cloud KMS יש את התפקיד Cloud KMS Organization Service Agent בארגון, תוכלו לראות פרטים על השימוש במפתח למשאבים שמוגנים על ידי המפתח, גם אם המשאבים נמצאים בפרויקטים אחרים.
    • ניהול מפתחות בהרשאת משנה: אם יש לכם תפקיד של צפייה במשאבים מוגנים ב-Cloud KMS בפרויקט, אבל לא בארגון, תוכלו לראות את פרטי השימוש במפתחות רק במשאבים שנמצאים באותו פרויקט. אם ההרשאות שלכם מאפשרות לכם לראות רק משאבים באותו פרויקט, בלוח הבקרה מעקב אחר השימוש תוצג הודעה שמציינת את היקף הנתונים המוגבל.

לפני שמתחילים

  • מפעילים את Cloud KMS Inventory API בפרויקט שבו רוצים לראות את נתוני השימוש במפתחות.

    להפעלת ה-API

התפקידים הנדרשים

אם אתם משתמשים ב-Cloud KMS עם מודל ניהול מפתחות מרכזי, אתם צריכים להעניק את ההרשאות הנדרשות לחשבון השירות של Cloud KMS.

גם בניהול מפתחות מרכזי וגם בניהול מפתחות בהרשאה, צריך להעניק את ההרשאות הנדרשות לחשבונות משתמשים שצריכים לצפות בנתוני השימוש במפתחות.

תפקיד חשבון השירות של Cloud KMS

אם אתם משתמשים במודל ניהול מפתחות עם הרשאות מוגבלות ולא צריך לראות נתוני שימוש במפתחות שמצטברים בארגון, אתם יכולים לדלג לקטע תפקידים בחשבון המשתמש בדף הזה.

כדי לוודא שלחשבון השירות של Cloud KMS יש את ההרשאות הנדרשות להפעלת מעקב אחר השימוש במפתחות ברמת הארגון, צריך לבקש מהאדמין להקצות לחשבון השירות של Cloud KMS את תפקיד ה-IAM סוכן שירות של Cloud KMS בארגון (roles/cloudkms.orgServiceAgent) בארגון.

תפקידים בחשבון משתמש

בלוח הבקרה מעקב אחר השימוש מוצג מידע שונה בהתאם לשאלה אם בחשבון המשתמש שלכם יש את התפקידים הנדרשים בפרויקט או בארגון האב. אם בארגון שלכם משתמשים במודל מרכזי לניהול מפתחות, צריך להקצות את התפקידים הבאים בארגון. אם בארגון שלכם משתמשים במודל ניהול מפתחות עם הרשאות מוגבלות, אתם יכולים להקצות את התפקידים הנדרשים בפרויקט כדי לראות את פרטי השימוש במפתחות בהיקף הפרויקט שנבחר.

כדי לקבל את ההרשאות שדרושות בשביל להציג את פרטי השימוש במפתחות, אתם צריכים לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים:

  • כדי לראות את סיכומי השימוש במפתחות: Cloud KMS Viewer (roles/cloudkms.viewer) במפתח
  • כדי לראות את פרטי השימוש במפתח: Cloud KMS Protected Resources Viewer (roles/cloudkms.protectedResourcesViewer) בפרויקט או בארגון

להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.

צפייה בפרטי השימוש במפתחות

המסוף

  1. נכנסים לדף Key inventory במסוף Google Cloud .

    מעבר אל Key inventory

  2. אופציונלי: כדי לסנן את רשימת המפתחות, מזינים את מונחי החיפוש בתיבה filter_list Filter ולוחצים על Enter. לדוגמה, אפשר לסנן לפי מיקום, מחזיק מפתחות, סטטוס או מאפיינים אחרים של המפתחות.

  3. לוחצים על שם המפתח שרוצים לראות את פרטי השימוש בו.

  4. לוחצים על הכרטיסייה מעקב אחר השימוש.

  5. אופציונלי: כדי לסנן את רשימת המשאבים המוגנים, מזינים את מונחי החיפוש בתיבה filter_list Filter ולוחצים על Enter.

מוצגים סיכום ופרטים של השימוש במפתח שנבחר. אם לכם ולחשבון השירות של Cloud KMS יש את התפקידים הנדרשים ברמת הארגון, תוכלו לראות את פרטי השימוש במפתחות של כל המשאבים בארגון שמוגנים על ידי מפתחות בפרויקט שנבחר. אם יש לכם את התפקידים הנדרשים רק ברמת הפרויקט, או אם לחשבון השירות של Cloud KMS אין את התפקיד הנדרש בארגון, תוכלו לראות את פרטי השימוש במפתח לכל המשאבים בפרויקט שנבחר שמוגנים על ידי מפתחות באותו פרויקט. אם אתם צופים בפרטים של אותו פרויקט, תוצג הודעה בכרטיסייה מעקב אחר השימוש שמציינת את היקף הנתונים שמוצגים.

gcloud

כדי להשתמש ב-Cloud KMS בשורת הפקודה, קודם צריך להתקין את הגרסה האחרונה של Google Cloud CLI או לשדרג אליה.

כדי לראות את סיכום השימוש במפתח, משתמשים בשיטה get-protected-resources-summary:

gcloud kms inventory get-protected-resources-summary \
    --keyname projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME \

מחליפים את מה שכתוב בשדות הבאים:

  • PROJECT_ID: מזהה הפרויקט שמכיל את מחזיק המפתחות.
  • LOCATION: המיקום ב-Cloud KMS שבו נמצא אוסף המפתחות.
  • KEY_RING: השם של אוסף המפתחות שמכיל את המפתח.
  • KEY_NAME: השם של המפתח שרוצים לראות את סיכום השימוש בו.

כדי לראות את פרטי השימוש במפתח, משתמשים ב-method‏ search-protected-resources:

gcloud kms inventory search-protected-resources \
    --keyname projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME \
    --scope=organizations/ORGANIZATION_ID

מחליפים את מה שכתוב בשדות הבאים:

  • PROJECT_ID: מזהה הפרויקט שמכיל את מחזיק המפתחות.
  • LOCATION: המיקום ב-Cloud KMS שבו נמצא אוסף המפתחות.
  • KEY_RING: השם של אוסף המפתחות שמכיל את המפתח.
  • KEY_NAME: השם של המפתח שרוצים לראות את פרטי השימוש בו.
  • ORGANIZATION_ID: המזהה המספרי של הארגון.

כברירת מחדל, השיטה הזו מחזירה פרטים על השימוש במפתח לכל המשאבים בארגון שמוגנים על ידי המפתח שצוין. אם יש לכם את התפקיד Cloud KMS Protected Resources Viewer ברמת הפרויקט אבל לא ברמת הארגון, או אם לחשבון השירות של Cloud KMS אין את התפקיד הנדרש בארגון, הפלט יציין שהנתונים שהוחזרו מוגבלים לפרויקט שנבחר.

REST

בדוגמאות האלה נעשה שימוש ב-curl כלקוח HTTP כדי להדגים את השימוש ב-API. מידע נוסף על בקרת גישה זמין במאמר גישה ל-Cloud KMS API.

כדי לראות את סיכום השימוש במפתח, משתמשים ב-method‏ cryptoKeys.getProtectedResourcesSummary:

curl "https://kmsinventory.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/protectedResourcesSummary"
    --request "GET" \
    --header "x-goog-user-project: CALLING_PROJECT_ID"
    --header "Content-Type: application/json" \
    --header "Authorization: Bearer TOKEN"

מחליפים את מה שכתוב בשדות הבאים:

  • PROJECT_ID: מזהה הפרויקט שמכיל את מחזיק המפתחות.
  • LOCATION: המיקום ב-Cloud KMS שבו נמצא אוסף המפתחות.
  • KEY_RING: השם של אוסף המפתחות שמכיל את המפתח.
  • KEY_NAME: השם של המפתח שרוצים לראות את סיכום השימוש בו.
  • CALLING_PROJECT_ID: המזהה של הפרויקט שממנו מתבצעת הקריאה ל-Cloud KMS Inventory API.

כדי לראות את פרטי השימוש במפתח, משתמשים ב-method‏ protectedResources.search:

curl "https://kmsinventory.googleapis.com/v1/organizations/ORGANIZATION_ID/protectedResources:search?crypto_key=projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME"
    --request "GET" \
    --header "x-goog-user-project: CALLING_PROJECT_ID"
    --header "Content-Type: application/json" \
    --header "Authorization: Bearer TOKEN"

מחליפים את מה שכתוב בשדות הבאים:

  • ORGANIZATION_ID: המזהה המספרי של הארגון.
  • PROJECT_ID: מזהה הפרויקט שמכיל את מחזיק המפתחות.
  • LOCATION: המיקום ב-Cloud KMS שבו נמצא אוסף המפתחות.
  • KEY_RING: השם של אוסף המפתחות שמכיל את המפתח.
  • KEY_NAME: השם של המפתח שרוצים לראות את פרטי השימוש בו.
  • CALLING_PROJECT_ID: המזהה של הפרויקט שממנו מתבצעת הקריאה ל-Cloud KMS Inventory API.

כברירת מחדל, השיטה הזו מחזירה פרטים על השימוש במפתח לכל המשאבים בארגון שמוגנים על ידי המפתח שצוין. אם יש לכם את התפקיד Cloud KMS Protected Resources Viewer ברמת הפרויקט אבל לא ברמת הארגון, או אם לחשבון השירות של Cloud KMS אין את התפקיד הנדרש בארגון, הפלט יציין שהנתונים שהוחזרו מוגבלים לפרויקט שנבחר.

פרטים עיקריים על השימוש

פרטי השימוש במשאבים המוגנים שמוצפנים באמצעות המפתח שנבחר כוללים את הפרטים הבאים:

  • שם: השם של Google Cloud המשאב שמוגן על ידי המפתח שנבחר.
  • Project: שם הפרויקט שמכיל את המשאב המוגן.
  • גרסה של מפתח הצפנה: גרסת המפתח שמשמשת להצפנה של המשאב הזה. חלק מסוגי המשאבים המוגנים לא מדווחים על הגרסה של מפתח ההצפנה.
  • מוצר Cloud: Google Cloud המוצר שמשויך למשאב הזה.
  • סוג המשאב: סוג המשאב המוגן, לדוגמה Bucket (Cloud Storage) או Disk (Compute Engine).
  • Location: Google Cloud האזור שמשויך למשאב.
  • תאריך יצירה: השעה שבה המשאב נוצר.
  • תוויות: קבוצה של צמדי מפתח/ערך שמשויכים למשאב.

פירוט של גרסאות המפתח שמגנות על משאב

אם משאב מוגן על ידי כמה גרסאות מפתח, יכול להיות שלא תוכלו לראות את הרשימה המלאה של גרסאות המפתח בכרטיסייה מעקב אחר שימוש.

כדי להציג את הגרסאות של המפתח שמגנות על משאב, מריצים את הפקודה הבאה באמצעות ה-CLI של gcloud:

gcloud kms inventory search-protected-resources \
  --keyname=KEY_NAME \
  --scope=organizations/ORGANIZATION_ID \
  --filter="name:RESOURCE_NAME" \
  --flatten="cryptoKeyVersions" \
  --format="value(cryptoKeyVersions)"

מחליפים את מה שכתוב בשדות הבאים:

  • KEY_NAME: השם של המפתח שרוצים לראות את רשימת הגרסאות שלו.
  • ORGANIZATION_ID: המזהה המספרי של הארגון.
  • RESOURCE_NAME: השם של המשאב שעבורו רוצים להציג את גרסאות המפתח.

סינון לפי סוג המשאב

אפשר לסנן את תוצאות החיפוש לפי סוג המשאב. לדוגמה, אתם יכולים לבחור להציג רק קטגוריות של Cloud Storage או רק דיסקים של Compute Engine. אפשר לציין סוגי משאבים לפי שם, או להשתמש בביטויים רגולריים כדי להתאים לכמה סוגי משאבים.

רשימה של סוגי המשאבים הנתמכים זמינה במאמר סוגי משאבים במעקב.

gcloud

כדי לסנן לפי סוג משאב, משתמשים בפקודה gcloud kms inventory search-protected-resources עם הדגל --resource-types:

gcloud kms inventory search-protected-resources \
    --keyname=projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME \
    --scope=organizations/ORGANIZATION_ID \
    --resource-types=RESOURCE_TYPES

מחליפים את מה שכתוב בשדות הבאים:

  • KEY_NAME: השם של המפתח שרוצים לראות את פרטי השימוש בו.
  • ORGANIZATION_ID: המזהה המספרי של הארגון.
  • RESOURCE_TYPES: רשימה מופרדת בפסיקים של סוגי משאבים לסינון. לדוגמה: storage.googleapis.com/Bucket או storage.googleapis.com/Bucket,compute.googleapis.com/Disk. אפשר להשתמש בביטויים רגולריים כדי להתאים סוגי משאבים לפי דפוס. לדוגמה, compute.googleapis.com/.* מתאים לכל סוג משאב שמתחיל ב-compute.googleapis.com/.

REST

כדי לסנן לפי סוג המשאב, משתמשים בפרמטר השאילתה resourceTypes.

curl "https://kmsinventory.googleapis.com/v1/organizations/ORGANIZATION_ID/protectedResources:search?crypto_key=projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME&resourceTypes=RESOURCE_TYPE" \
    --request "GET" \
    --header "x-goog-user-project: CALLING_PROJECT_ID" \
    --header "Content-Type: application/json" \
    --header "Authorization: Bearer TOKEN"

מחליפים את מה שכתוב בשדות הבאים:

  • ORGANIZATION_ID: המזהה המספרי של הארגון.
  • PROJECT_ID: מזהה הפרויקט שמכיל את מחזיק המפתחות.
  • LOCATION: המיקום ב-Cloud KMS שבו נמצא אוסף המפתחות.
  • KEY_RING: השם של אוסף המפתחות שמכיל את המפתח.
  • KEY_NAME: השם של המפתח שרוצים לראות את פרטי השימוש בו.
  • CALLING_PROJECT_ID: המזהה של הפרויקט שממנו מתבצעת הקריאה אל Cloud KMS Inventory API.
  • RESOURCE_TYPE: סוג המשאב שלפיו רוצים לסנן, לדוגמה storage.googleapis.com/Bucket. כדי לסנן לפי יותר מסוג משאב אחד, משתמשים בכמה פרמטרים של שאילתה resourceTypes. אתם יכולים להשתמש בביטויים רגולריים כדי להתאים סוגי משאבים לפי תבנית. לדוגמה, compute.googleapis.com/.* תואם לכל סוג משאב שמתחיל ב-compute.googleapis.com/.

מגבלות

כשמשתמשים במעקב אחר שימוש במפתחות, חשוב לשים לב לדברים הבאים:

  • מעקב אחר השימוש במפתחות זמין רק לשימוש במפתחות CMEK. אם אתם משתמשים בגרסת מפתח באפליקציות שלכם בתוך Google Cloudאו מחוצה לה, השימוש הזה לא נכלל בכרטיסייה מעקב שימוש.
  • כברירת מחדל, פרטי מעקב השימוש במפתחות מסופקים ברמת הארגון, לכל המשאבים שניתנים למעקב בארגון ומוגנים על ידי המפתח שנבחר. עם זאת, אם יש לכם את ההרשאה Cloud KMS Protected Resources Viewer בפרויקט אבל לא בארגון, תוכלו לעקוב אחרי השימוש במפתח ברמת הפרויקט עבור משאבים בפרויקט שנבחר שמוגנים על ידי המפתח שנבחר. כשנתוני מעקב השימוש במפתחות מוצגים ברמת הפרויקט, הפלט מציין שהנתונים מוגבלים לפרויקט שנבחר.
  • אפשר לראות את פרטי המעקב אחר השימוש במפתח רק ברמת הארגון, אם לחשבון השירות של Cloud KMS יש את התפקיד הנדרש Cloud KMS Organization Service Agent בארגון. אם לחשבון השירות אין את התפקיד הנדרש, נתוני השימוש במפתח מוגבלים לפרויקט שנבחר.
  • חלק מהמשאבים של CMEK לא נכללים במעקב. יכול להיות שפרטי השימוש במפתחות לא ייכללו בפרטים של השימוש במפתחות עבור סוגי משאבים שלא מופיעים בסוגי המשאבים שעוקבים אחריהם. לדוגמה, השימוש במפתח על ידי Datastream להצפנת משאבי ConnectionProfile (datastream.googleapis.com/ConnectionProfile) לא מוצג בכרטיסייה מעקב אחר שימוש.
  • יכול להיות שיהיה עיכוב בהצגת הנתונים. לדוגמה, אם יוצרים משאב מוגן חדש, המשאב המוגן וגרסת המפתח המשויכת לא מתווספים מיד לכרטיסייה מעקב אחר השימוש.
  • נתוני השימוש במפתחות של Cloud Storage כפופים למגבלות הנוספות הבאות:
    • נתוני שימוש מרכזיים נצברים מאובייקטים לדליים. שמות האובייקטים לא מוצגים. קטגוריה תוצג כקטגוריה שמשתמשת במפתח אם יש בה לפחות אובייקט אחד שמשתמש במפתח הזה.
    • יכול להיות שמעקב השימוש במפתחות לא יהיה מלא לגבי בקטים שמכילים אובייקטים שמוגנים באמצעות יותר מ-4,000 גרסאות מפתח ייחודיות.
  • פרטים חשובים על מעקב השימוש מיועדים למטרות מידע בלבד. לפני שמבצעים שינויים שעלולים לגרום להפסקות בשירות או לאובדן נתונים, מומלץ לבצע בדיקת נאותות באמצעות מקורות אחרים. אל תשביתו או תשמידו גרסאות של מפתחות רק על סמך מידע על מעקב השימוש במפתחות.

סוגי המשאבים במעקב

אלה סוגי המשאבים שנתמכים:

    שירות משאב
    חיפוש סוכנים discoveryengine.googleapis.com/DataStore
    ‫AlloyDB ל-PostgreSQL alloydb.googleapis.com/Backup
    ‫AlloyDB ל-PostgreSQL alloydb.googleapis.com/Cluster
    Apigee apigee.googleapis.com/Organization
    Apigee apigee.googleapis.com/Instance
    Apigee API hub apihub.googleapis.com/ApiHubInstance
    Artifact Registry artifactregistry.googleapis.com/Repository
    שירות Backup and DR backupdr.googleapis.com/BackupVault
    שירות Backup and DR backupdr.googleapis.com/Backup
    BigQuery bigquery.googleapis.com/Dataset
    BigQuery bigquery.googleapis.com/Model
    BigQuery bigquery.googleapis.com/Table
    BigQuery bigquerydatatransfer.googleapis.com/TransferConfig
    Bigtable bigtableadmin.googleapis.com/Backup
    Bigtable bigtableadmin.googleapis.com/Cluster
    Bigtable bigtableadmin.googleapis.com/Table
    Cloud Data Fusion datafusion.googleapis.com/Instance
    Cloud Healthcare API healthcare.googleapis.com/Dataset
    Cloud Logging logging.googleapis.com/LogBucket
    Cloud Run run.googleapis.com/Revision
    פונקציות Cloud Run cloudfunctions.googleapis.com/CloudFunction
    פונקציות Cloud Run cloudfunctions.googleapis.com/Function
    Cloud SQL sqladmin.googleapis.com/BackupRun
    Cloud SQL sqladmin.googleapis.com/Instance
    Cloud Storage storage.googleapis.com/Bucket
    תחנות עבודה בענן workstations.googleapis.com/Workstation
    תחנות עבודה בענן workstations.googleapis.com/WorkstationConfig
    Compute Engine compute.googleapis.com/Disk
    Compute Engine compute.googleapis.com/Image
    Compute Engine compute.googleapis.com/MachineImage
    Compute Engine compute.googleapis.com/Snapshot
    Database Migration Service datamigration.googleapis.com/MigrationJob
    Database Migration Service datamigration.googleapis.com/ConnectionProfile
    Dataflow dataflow.googleapis.com/Job
    Dataproc Metastore metastore.googleapis.com/Service
    Datastream datastream.googleapis.com/Stream
    Document AI documentai.googleapis.com/HumanReviewConfig
    Document AI documentai.googleapis.com/Processor
    Document AI documentai.googleapis.com/ProcessorVersion
    Filestore file.googleapis.com/Instance
    Filestore file.googleapis.com/Backup
    Firestore firestore.googleapis.com/Database
    Firestore datastore.googleapis.com/Database
    Gemini Enterprise discoveryengine.googleapis.com/DataStore
    Google Cloud Managed Lustre lustre.googleapis.com/Instance
    Google Cloud Observability observability.googleapis.com/Bucket
    Google Kubernetes Engine container.googleapis.com/Cluster
    Looker (Google Cloud core)‎ looker.googleapis.com/Instance
    Managed Service for Apache Airflow composer.googleapis.com/Environment
    Managed Service for Apache Spark dataproc.googleapis.com/Cluster
    Managed Service for Apache Spark dataproc.googleapis.com/Batch
    Memorystore for Redis redis.googleapis.com/Instance
    Migrate to Virtual Machines vmmigration.googleapis.com/Source
    Pub/Sub pubsub.googleapis.com/Topic
    Secret Manager secretmanager.googleapis.com/Secret
    Secret Manager secretmanager.googleapis.com/SecretVersion
    Secure Source Manager securesourcemanager.googleapis.com/Instance
    Spanner spanner.googleapis.com/Database
    Vertex AI aiplatform.googleapis.com/Dataset
    Vertex AI aiplatform.googleapis.com/Featurestore
    Vertex AI aiplatform.googleapis.com/Tensorboard
    Vertex AI aiplatform.googleapis.com/BatchPredictionJob
    Vertex AI aiplatform.googleapis.com/CustomJob
    Vertex AI aiplatform.googleapis.com/Endpoint
    Vertex AI aiplatform.googleapis.com/Model
    Vertex AI aiplatform.googleapis.com/TrainingPipeline
    Vertex AI aiplatform.googleapis.com/PipelineJob
    Vertex AI aiplatform.googleapis.com/MetadataStore
    מכונות של Vertex AI Workbench notebooks.googleapis.com/Instance
    Workflows workflows.googleapis.com/Workflow