Skip to main content
Tous les fournisseurs de cloud
  • Amazon Web Services
  • Google Cloud
  • Microsoft Azure
  • Tous les fournisseurs de cloud
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Utilisation de clés de chiffrement gérées par le client avec Cloud Volumes ONTAP

Contributeurs netapp-manini
PDF

Bien que Google Cloud Storage chiffre toujours vos données avant qu'elles ne soient écrites sur le disque, vous pouvez utiliser les API pour créer un système Cloud Volumes ONTAP qui utilise des clés de chiffrement gérées par le client. Il s’agit de clés que vous générez et gérez dans GCP à l’aide du service Cloud Key Management.

Étapes

  1. Assurez-vous que le compte de service de l’agent de console dispose des autorisations appropriées au niveau du projet, dans le projet où la clé est stockée.

    Les autorisations sont fournies dans le "les autorisations du compte de service par défaut" , mais peut ne pas être appliqué si vous utilisez un autre projet pour le service Cloud Key Management.

    Les autorisations sont les suivantes :

    - cloudkms.cryptoKeyVersions.useToEncrypt
- cloudkms.cryptoKeys.get
- cloudkms.cryptoKeys.list
- cloudkms.keyRings.list

  2. Assurez-vous que le compte de service pour le "Agent de service Google Compute Engine" dispose des autorisations Cloud KMS Encrypter/Decrypter sur la clé.

    Le nom du compte de service utilise le format suivant : « service-[numéro_de_projet_service]@compute-system.iam.gserviceaccount.com ».

    "Documentation Google Cloud : Utilisation d'IAM avec Cloud KMS – Attribution de rôles sur une ressource"

  3. Obtenez l'« id » de la clé en appelant la commande get pour le /gcp/vsa/metadata/gcp-encryption-keys Appel d'API ou en choisissant « Copier le nom de la ressource » sur la clé dans la console GCP.

  4. Si vous utilisez des clés de chiffrement gérées par le client et que vous hiérarchisez les données vers le stockage d'objets, la console NetApp tente d'utiliser les mêmes clés que celles utilisées pour chiffrer les disques persistants. Mais vous devrez d’abord activer les buckets Google Cloud Storage pour utiliser les clés :

    1. Recherchez l'agent de service Google Cloud Storage en suivant les instructions "Documentation Google Cloud : Obtenir l'agent de service Cloud Storage" .

    2. Accédez à la clé de chiffrement et attribuez à l’agent de service Google Cloud Storage les autorisations Cloud KMS Encrypter/Decrypter.

    Pour plus d'informations, reportez-vous à "Documentation Google Cloud : Utilisation des clés de chiffrement gérées par le client"

  5. Utilisez le paramètre « GcpEncryption » avec votre requête API lors de la création d'un système.

    Exemple

    "gcpEncryptionParameters": {
    "key": "projects/project-1/locations/us-east4/keyRings/keyring-1/cryptoKeys/generatedkey1"
  }

Reportez-vous à la "Documentation sur l'automatisation de la console NetApp" pour plus de détails sur l'utilisation du paramètre « GcpEncryption ».