Skip to main content
Alle Cloud-Anbieter
  • Amazon Web Services
  • Google Cloud
  • Microsoft Azure
  • Alle Cloud-Anbieter
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Verwenden von kundenverwalteten Verschlüsselungsschlüsseln mit Cloud Volumes ONTAP

Beitragende netapp-manini
PDFs

Während Google Cloud Storage Ihre Daten immer verschlüsselt, bevor sie auf die Festplatte geschrieben werden, können Sie mithilfe der APIs ein Cloud Volumes ONTAP -System erstellen, das vom Kunden verwaltete Verschlüsselungsschlüssel verwendet. Dies sind Schlüssel, die Sie mithilfe des Cloud Key Management Service in GCP generieren und verwalten.

Schritte

  1. Stellen Sie sicher, dass das Dienstkonto des Konsolen-Agenten über die richtigen Berechtigungen auf Projektebene verfügt, und zwar in dem Projekt, in dem der Schlüssel gespeichert ist.

    Die Berechtigungen finden Sie in der "die Dienstkontoberechtigungen standardmäßig" , wird aber möglicherweise nicht angewendet, wenn Sie ein alternatives Projekt für den Cloud Key Management Service verwenden.

    Die Berechtigungen lauten wie folgt:

    - cloudkms.cryptoKeyVersions.useToEncrypt
- cloudkms.cryptoKeys.get
- cloudkms.cryptoKeys.list
- cloudkms.keyRings.list

  2. Stellen Sie sicher, dass das Dienstkonto für die "Google Compute Engine-Dienstagent" verfügt über Cloud KMS-Verschlüsselungs-/Entschlüsselungsberechtigungen für den Schlüssel.

    Der Name des Dienstkontos verwendet das folgende Format: „service-[service_project_number]@compute-system.iam.gserviceaccount.com“.

    "Google Cloud-Dokumentation: Verwenden von IAM mit Cloud KMS – Zuweisen von Rollen für eine Ressource"

  3. Rufen Sie die ID des Schlüssels ab, indem Sie den Befehl „get“ für den /gcp/vsa/metadata/gcp-encryption-keys API-Aufruf oder durch Auswahl von „Ressourcennamen kopieren“ auf dem Schlüssel in der GCP-Konsole.

  4. Wenn Sie vom Kunden verwaltete Verschlüsselungsschlüssel verwenden und Daten in den Objektspeicher verschieben, versucht die NetApp Konsole, dieselben Schlüssel zu verwenden, die zum Verschlüsseln der persistenten Datenträger verwendet werden. Sie müssen jedoch zunächst Google Cloud Storage-Buckets aktivieren, um die Schlüssel verwenden zu können:

    1. Suchen Sie den Google Cloud Storage-Dienstagenten, indem Sie den "Google Cloud-Dokumentation: Abrufen des Cloud Storage-Dienstagenten" .

    2. Navigieren Sie zum Verschlüsselungsschlüssel und weisen Sie dem Google Cloud Storage-Dienstagenten die Berechtigungen zum Verschlüsseln/Entschlüsseln von Cloud KMS zu.

    Weitere Informationen finden Sie unter "Google Cloud-Dokumentation: Verwenden von vom Kunden verwalteten Verschlüsselungsschlüsseln"

  5. Verwenden Sie beim Erstellen eines Systems den Parameter „GcpEncryption“ mit Ihrer API-Anfrage.

    Beispiel

    "gcpEncryptionParameters": {
    "key": "projects/project-1/locations/us-east4/keyRings/keyring-1/cryptoKeys/generatedkey1"
  }

Weitere Informationen finden Sie im "Dokumentation zur NetApp -Konsolenautomatisierung" Weitere Informationen zur Verwendung des Parameters „GcpEncryption“.