Utilizzo di chiavi di crittografia gestite dal cliente con Cloud Volumes ONTAP
Mentre Google Cloud Storage crittografa sempre i tuoi dati prima che vengano scritti su disco, puoi utilizzare l'API BlueXP per creare un sistema Cloud Volumes ONTAP che utilizza chiavi di crittografia gestite dal cliente. Si tratta di chiavi che vengono generate e gestite in GCP utilizzando il Cloud Key Management Service.
-
Assicurarsi che l'account di servizio di BlueXP Connector disponga delle autorizzazioni corrette a livello di progetto, nel progetto in cui è memorizzata la chiave.
Le autorizzazioni sono fornite in "Per impostazione predefinita, le autorizzazioni dell'account di servizio del connettore", Ma potrebbe non essere applicato se si utilizza un progetto alternativo per il Cloud Key Management Service.
Le autorizzazioni sono le seguenti:
- cloudkms.cryptoKeyVersions.useToEncrypt - cloudkms.cryptoKeys.get - cloudkms.cryptoKeys.list - cloudkms.keyRings.list
-
Assicurarsi che l'account di servizio per "Agente di servizio di Google Compute Engine" Dispone delle autorizzazioni Cloud KMS Encrypter/Decrypter sulla chiave.
Il nome dell'account del servizio utilizza il seguente formato: "Servizio-[numero_progetto_servizio]@compute-system.iam.gserviceaccount.com".
-
Ottenere l'id della chiave richiamando il comando get per
/gcp/vsa/metadata/gcp-encryption-keys
Chiamata API o selezionando "Copy Resource Name" (Copia nome risorsa) sulla chiave nella console GCP. -
Se si utilizzano chiavi di crittografia gestite dal cliente e tiering dei dati per lo storage a oggetti, BlueXP tenta di utilizzare le stesse chiavi utilizzate per crittografare i dischi persistenti. Tuttavia, prima di tutto, dovrai abilitare i bucket di storage Google Cloud per utilizzare le chiavi:
-
Individuare l'agente del servizio Google Cloud Storage seguendo la "Documentazione Google Cloud: Ottenere l'agente del servizio Cloud Storage".
-
Accedere alla chiave di crittografia e assegnare all'agente del servizio Google Cloud Storage le autorizzazioni di crittografia/decrypter Cloud KMS.
Per ulteriori informazioni, fare riferimento a. "Documentazione Google Cloud: Utilizzo di chiavi di crittografia gestite dal cliente"
-
-
Utilizzare il parametro "GcpEncryption" con la richiesta API durante la creazione di un ambiente di lavoro.
Esempio
"gcpEncryptionParameters": { "key": "projects/project-1/locations/us-east4/keyRings/keyring-1/cryptoKeys/generatedkey1" }
Fare riferimento a. "Documenti sull'automazione BlueXP" Per ulteriori informazioni sull'utilizzo del parametro "GcpEncryption".