Cloud Volumes ONTAPで顧客管理の暗号化キーを使用する
変更を提案
PDF
Google Cloud Storage では、データがディスクに書き込まれる前に常に暗号化されますが、API を使用して、顧客管理の暗号化キー を使用するCloud Volumes ONTAPシステムを作成できます。これらは、Cloud Key Management Service を使用して GCP で生成および管理するキーです。
-
キーが保存されているプロジェクトにおいて、コンソール エージェント サービス アカウントにプロジェクト レベルでの適切な権限があることを確認します。
権限は、 "デフォルトのサービスアカウント権限"ただし、Cloud Key Management Service に代替プロジェクトを使用する場合は適用されない可能性があります。
権限は次のとおりです。
- cloudkms.cryptoKeyVersions.useToEncrypt - cloudkms.cryptoKeys.get - cloudkms.cryptoKeys.list - cloudkms.keyRings.list -
サービスアカウントが "Google Compute Engine サービス エージェント"キーに対する Cloud KMS 暗号化/復号化権限を持っています。
サービス アカウントの名前は、「service-[service_project_number]@compute-system.iam.gserviceaccount.com」という形式になります。
-
getコマンドを呼び出してキーの「ID」を取得します。
/gcp/vsa/metadata/gcp-encryption-keysAPI 呼び出し、または GCP コンソールのキーで「リソース名のコピー」を選択します。 -
顧客管理の暗号化キーを使用し、データをオブジェクト ストレージに階層化する場合、 NetAppコンソールは永続ディスクの暗号化に使用されるのと同じキーを利用しようとします。ただし、まず Google Cloud Storage バケットがキーを使用できるようにする必要があります。
-
Google Cloud Storageサービスエージェントを見つけるには、 "Google Cloud ドキュメント: Cloud Storage サービス エージェントの取得" 。
-
暗号化キーに移動し、Google Cloud Storage サービス エージェントに Cloud KMS 暗号化/復号化権限を割り当てます。
詳細については、 "Google Cloud ドキュメント: 顧客管理の暗号鍵の使用"
-
-
システムを作成するときは、API リクエストで「GcpEncryption」パラメータを使用します。
例
"gcpEncryptionParameters": { "key": "projects/project-1/locations/us-east4/keyRings/keyring-1/cryptoKeys/generatedkey1" }
参照 "NetAppコンソール自動化ドキュメント"「GcpEncryption」パラメータの使用に関する詳細については、こちらをご覧ください。