日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

お客様が管理する暗号化キーを Cloud Volumes ONTAP で使用する

Google Cloud Storage では常にデータが暗号化されてからディスクに書き込まれますが、 Cloud Manager API を使用して、 _cuser-managed 暗号化キー _ を使用する Cloud Volumes ONTAP システムを作成できます。これらは、 Cloud Key Management Service を使用して GCP で生成および管理するキーです。

手順

  1. キーが格納されているプロジェクトのプロジェクトレベルで、 Cloud Manager Connector サービスアカウントの権限が正しいことを確認します。

    権限はから提供されます "Cloud Manager YAML ファイル" デフォルトでは、 Cloud Key Management Service に別のプロジェクトを使用する場合は適用できません。

    権限は次のとおりです。

    - cloudkms.cryptoKeyVersions.list
- cloudkms.cryptoKeys.get
- cloudkms.cryptoKeys.list
- cloudkms.keyRings.list

  2. のサービスアカウントを確認します "Google Compute Engine Service Agent" キーに対する Cloud KMS の暗号化 / 復号化権限があることを確認します。

    サービスアカウントの名前は、「 service-[SERVICE_PROJECT_NUMBER_@compute-system.iam.gserviceaccount.com 」という形式で指定します。

    "Google Cloud のドキュメント:「 Using IAM with Cloud KMS - Granting roles on a resource"

  3. 「 /GCP/VSA/meta/META/GCP-encryption-keys 」 API 呼び出しの get コマンドを呼び出すか、 GCP コンソールのキーで「 Copy Resource Name 」を選択して、キーの「 id 」を取得します。

  4. お客様が管理する暗号化キーを使用してオブジェクトストレージにデータを階層化する場合、 Cloud Manager は永続ディスクの暗号化に使用されるキーと同じキーを使用します。キーを使用するには、まず Google Cloud Storage バケットを有効にする必要があります。

    1. 次の手順に従って、 Google Cloud Storage サービスエージェントを検索します "Google Cloud ドキュメント:「 Getting the Cloud Storage service agent"

    2. 暗号化キーに移動し、 Cloud KMS 暗号化 / 復号化権限を持つ Google Cloud Storage サービスエージェントを割り当てます。

    詳細については、を参照してください "Google Cloud のドキュメント:「 Using customer-managed encryption keys"

  5. 作業環境を作成するときは、 API 要求で "GcpEncryption" パラメータを使用します。

    • 例 *

    "gcpEncryptionParameters": {
    "key": "projects/project-1/locations/us-east4/keyRings/keyring-1/cryptoKeys/generatedkey1"
  }

を参照してください "Cloud Manager 自動化に関するドキュメント" "GcpEncryption" パラメータの使用方法の詳細については、を参照してください。