Skip to main content
Tous les fournisseurs cloud
  • Amazon Web Services
  • Google Cloud
  • Microsoft Azure
  • Tous les fournisseurs cloud
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Grâce à des clés de chiffrement gérées par le client avec Cloud Volumes ONTAP

Contributeurs

Google Cloud Storage chiffre toujours vos données avant leur écriture sur le disque, mais vous pouvez utiliser l'API BlueXP pour créer un système Cloud Volumes ONTAP qui utilise des clés de chiffrement gérées par le client. Il s'agit des clés que vous créez et gérez dans GCP à l'aide du service Cloud Key Management.

Étapes

  1. Assurez-vous que le compte de service BlueXP Connector dispose des autorisations appropriées au niveau du projet, dans le projet où la clé est stockée.

    Les autorisations sont fournies dans le "Par défaut, Connector service account permissions", Mais ne peut pas être appliqué si vous utilisez un autre projet pour le service Cloud Key Management.

    Les autorisations sont les suivantes :

    - cloudkms.cryptoKeyVersions.useToEncrypt
- cloudkms.cryptoKeys.get
- cloudkms.cryptoKeys.list
- cloudkms.keyRings.list

  2. Assurez-vous que le compte de service du "Agent de service Google Compute Engine" Dispose d'autorisations de chiffrement/déchiffrement de clés KMS sur le Cloud.

    Le nom du compte de service utilise le format suivant : "service-[service_Project_Number]@compute-system.iam.gserviceaccount.com".

    "Google Cloud Documentation : utilisation de l'IAM avec Cloud KMS - attribution de rôles sur une ressource"

  3. Obtenir l'ID de la clé en invoquant la commande obtenir pour le /gcp/vsa/metadata/gcp-encryption-keys Ou en choisissant « Copy Resource Name » (Copier le nom de la ressource) sur la clé de la console GCP.

  4. Si vous utilisez des clés de chiffrement gérées par le client et hiérarchise les données vers le stockage objet, BlueXP tente d'utiliser les clés qui sont utilisées pour chiffrer les disques persistants. Toutefois, vous devez d'abord activer les compartiments Google Cloud Storage pour utiliser les clés :

    1. Recherchez l'agent de service Google Cloud Storage en suivant le "Documentation Google Cloud : comment obtenir l'agent de service Cloud Storage".

    2. Accédez à la clé de chiffrement et attribuez l'agent de service Google Cloud Storage avec les autorisations de chiffrement/déchiffrement de Cloud KMS.

    Pour plus d'informations, reportez-vous à la section "Google Cloud Documentation : utilisation de clés de chiffrement gérées par le client"

  5. Utilisez le paramètre "GcpEncryption" avec votre requête API lors de la création d'un environnement de travail.

    Exemple

    "gcpEncryptionParameters": {
    "key": "projects/project-1/locations/us-east4/keyRings/keyring-1/cryptoKeys/generatedkey1"
  }

Reportez-vous à la "Documents d'automatisation BlueXP" Pour plus d'informations sur l'utilisation du paramètre "GcpEncryption".