Skip to main content
すべてのクラウドプロバイダー
  • Amazon Web Services
  • Google Cloud
  • Microsoft Azure
  • すべてのクラウドプロバイダー
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

Cloud Volumes ONTAPで顧客管理の暗号化キーを使用する

共同作成者 netapp-manini

Google Cloud Storage では、データがディスクに書き込まれる前に常に暗号化されますが、API を使用して、顧客管理の暗号化キー を使用するCloud Volumes ONTAPシステムを作成できます。これらは、Cloud Key Management Service を使用して GCP で生成および管理するキーです。

手順
  1. キーが保存されているプロジェクトにおいて、コンソール エージェント サービス アカウントにプロジェクト レベルでの適切な権限があることを確認します。

    権限は、 "デフォルトのサービスアカウント権限"ただし、Cloud Key Management Service に代替プロジェクトを使用する場合は適用されない可能性があります。

    権限は次のとおりです。

    - cloudkms.cryptoKeyVersions.useToEncrypt
    - cloudkms.cryptoKeys.get
    - cloudkms.cryptoKeys.list
    - cloudkms.keyRings.list
  2. サービスアカウントが "Google Compute Engine サービス エージェント"キーに対する Cloud KMS 暗号化/復号化権限を持っています。

    サービス アカウントの名前は、「service-[service_project_number]@compute-system.iam.gserviceaccount.com」という形式になります。

  3. getコマンドを呼び出してキーの「ID」を取得します。 /gcp/vsa/metadata/gcp-encryption-keys API 呼び出し、または GCP コンソールのキーで「リソース名のコピー」を選択します。

  4. 顧客管理の暗号化キーを使用し、データをオブジェクト ストレージに階層化する場合、 NetAppコンソールは永続ディスクの暗号化に使用されるのと同じキーを利用しようとします。ただし、まず Google Cloud Storage バケットがキーを使用できるようにする必要があります。

    1. Google Cloud Storageサービスエージェントを見つけるには、 "Google Cloud ドキュメント: Cloud Storage サービス エージェントの取得"

    2. 暗号化キーに移動し、Google Cloud Storage サービス エージェントに Cloud KMS 暗号化/復号化権限を割り当てます。

  5. システムを作成するときは、API リクエストで「GcpEncryption」パラメータを使用します。

    "gcpEncryptionParameters": {
        "key": "projects/project-1/locations/us-east4/keyRings/keyring-1/cryptoKeys/generatedkey1"
      }

参照 "NetAppコンソール自動化ドキュメント"「GcpEncryption」パラメータの使用に関する詳細については、こちらをご覧ください。