Skip to main content
Todos los proveedores de nube
  • Servicios web de Amazon
  • Google Cloud
  • Microsoft Azure
  • Todos los proveedores de nube
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Uso de claves de cifrado administradas por el cliente con Cloud Volumes ONTAP

Colaboradores netapp-manini
PDF

Si bien Google Cloud Storage siempre cifra sus datos antes de escribirlos en el disco, puede usar las API para crear un sistema Cloud Volumes ONTAP que utilice claves de cifrado administradas por el cliente. Se trata de claves que usted genera y administra en GCP mediante el Servicio de administración de claves en la nube.

Pasos

  1. Asegúrese de que la cuenta de servicio del agente de consola tenga los permisos correctos en el nivel del proyecto, en el proyecto donde está almacenada la clave.

    Los permisos se proporcionan en el "Los permisos de la cuenta de servicio por defecto" , pero es posible que no se aplique si utiliza un proyecto alternativo para el Servicio de administración de claves en la nube.

    Los permisos son los siguientes:

    - cloudkms.cryptoKeyVersions.useToEncrypt
- cloudkms.cryptoKeys.get
- cloudkms.cryptoKeys.list
- cloudkms.keyRings.list

  2. Asegúrese de que la cuenta de servicio para el "Agente de servicio de Google Compute Engine" Tiene permisos de cifrado/descifrado de Cloud KMS en la clave.

    El nombre de la cuenta de servicio utiliza el siguiente formato: "service-[service_project_number]@compute-system.iam.gserviceaccount.com".

    "Documentación de Google Cloud: Uso de IAM con Cloud KMS: Concesión de roles en un recurso"

  3. Obtenga el "id" de la clave invocando el comando get para la /gcp/vsa/metadata/gcp-encryption-keys Llamada API o eligiendo "Copiar nombre de recurso" en la clave en la consola de GCP.

  4. Si se utilizan claves de cifrado administradas por el cliente y se organizan los datos en niveles para el almacenamiento de objetos, la consola de NetApp intenta utilizar las mismas claves que se usan para cifrar los discos persistentes. Pero primero deberás habilitar los depósitos de Google Cloud Storage para usar las claves:

    1. Encuentre el agente del servicio Google Cloud Storage siguiendo las instrucciones "Documentación de Google Cloud: Cómo obtener el agente del servicio Cloud Storage" .

    2. Navegue hasta la clave de cifrado y asigne al agente del servicio Google Cloud Storage permisos de cifrado/descifrado de Cloud KMS.

    Para obtener más información, consulte "Documentación de Google Cloud: Uso de claves de cifrado administradas por el cliente"

  5. Utilice el parámetro "GcpEncryption" con su solicitud de API al crear un sistema.

    Ejemplo

    "gcpEncryptionParameters": {
    "key": "projects/project-1/locations/us-east4/keyRings/keyring-1/cryptoKeys/generatedkey1"
  }

Consulte la "Documentación de automatización de la consola de NetApp" para obtener más detalles sobre el uso del parámetro "GcpEncryption".