Skip to main content
すべてのクラウドプロバイダ
  • Amazon Web Services の
  • Google Cloud
  • Microsoft Azure
  • すべてのクラウドプロバイダ
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

お客様が管理する暗号化キーを Cloud Volumes ONTAP で使用する

共同作成者

Google Cloud Storageでは、データがディスクに書き込まれる前に常に暗号化されますが、BlueXP APIを使用して、_お客様が管理する暗号化キー_を使用するCloud Volumes ONTAP システムを作成できます。これらは、 Cloud Key Management Service を使用して GCP で生成および管理するキーです。

手順

  1. キーが格納されているプロジェクトで、BlueXP Connectorサービスアカウントがプロジェクトレベルで正しいアクセス許可を持っていることを確認します。

    権限は、で提供されています "デフォルトでは、Connectorサービスアカウントの権限です"、ただし、Cloud Key Management Serviceに別のプロジェクトを使用する場合は適用できません。

    権限は次のとおりです。

    - cloudkms.cryptoKeyVersions.useToEncrypt
- cloudkms.cryptoKeys.get
- cloudkms.cryptoKeys.list
- cloudkms.keyRings.list

  2. のサービスアカウントを確認します "Google Compute Engine Service Agent" キーに対する Cloud KMS の暗号化 / 復号化権限があることを確認します。

    サービスアカウントの名前は、「 service-[SERVICE_PROJECT_NUMBER_@compute-system.iam.gserviceaccount.com 」という形式で指定します。

    "Google Cloud のドキュメント:「 Using IAM with Cloud KMS - Granting roles on a resource"

  3. 「 /GCP/VSA/meta/META/GCP-encryption-keys 」 API 呼び出しの get コマンドを呼び出すか、 GCP コンソールのキーで「 Copy Resource Name 」を選択して、キーの「 id 」を取得します。

  4. お客様が管理する暗号化キーを使用し、データをオブジェクトストレージに階層化する場合、BlueXPは、永続ディスクの暗号化に使用されるのと同じキーを使用しようとします。キーを使用するには、まず Google Cloud Storage バケットを有効にする必要があります。

    1. 次の手順に従って、 Google Cloud Storage サービスエージェントを検索します "Google Cloud ドキュメント:「 Getting the Cloud Storage service agent"

    2. 暗号化キーに移動し、 Cloud KMS 暗号化 / 復号化権限を持つ Google Cloud Storage サービスエージェントを割り当てます。

    詳細については、を参照してください "Google Cloud のドキュメント:「 Using customer-managed encryption keys"

  5. 作業環境を作成するときは、 API 要求で "GcpEncryption" パラメータを使用します。

    • 例 *

    "gcpEncryptionParameters": {
    "key": "projects/project-1/locations/us-east4/keyRings/keyring-1/cryptoKeys/generatedkey1"
  }

を参照してください "BlueXP自動化ドキュメント" "GcpEncryption" パラメータの使用方法の詳細については、を参照してください。