Cloud Volumes ONTAP에서 고객이 관리하는 암호화 키 사용
Google 클라우드 스토리지는 디스크에 데이터를 쓰기 전에 항상 데이터를 암호화하지만 BlueXP API를 사용하여 고객이 관리하는 암호화 키 를 사용하는 Cloud Volumes ONTAP 시스템을 만들 수 있습니다. 클라우드 키 관리 서비스를 사용하여 GCP에서 생성하고 관리하는 키입니다.
-
BlueXP Connector 서비스 계정의 프로젝트 수준에서 키가 저장된 프로젝트에 대한 올바른 권한이 있는지 확인합니다.
사용 권한은 에 제공됩니다 "기본적으로 커넥터 서비스 계정 권한이 있습니다", 그러나 클라우드 키 관리 서비스에 대체 프로젝트를 사용하는 경우에는 적용되지 않을 수 있습니다.
사용 권한은 다음과 같습니다.
- cloudkms.cryptoKeyVersions.useToEncrypt - cloudkms.cryptoKeys.get - cloudkms.cryptoKeys.list - cloudkms.keyRings.list
-
에 대한 서비스 계정이 있는지 확인합니다 "Google Compute Engine 서비스 에이전트입니다" Cloud KMS Encrypter/Decrypter 권한이 키에 있습니다.
서비스 계정 이름은 "service-[service_project_number]@compute-system.iam.gserviceaccount.com" 형식을 사용합니다.
-
"/GCP/VSA/metadata/GCP-encryption-keys" API 호출에 대한 get 명령을 호출하거나 GCP 콘솔의 키에 있는 "Copy Resource Name"을 선택하여 키의 "id"를 얻습니다.
-
고객이 관리하는 암호화 키를 사용하고 데이터를 오브젝트 스토리지에 계층화하는 경우 BlueXP는 영구 디스크를 암호화하는 데 사용되는 동일한 키를 사용하려고 합니다. 하지만 먼저 Google Cloud Storage 버킷을 활성화하여 키를 사용해야 합니다.
-
에 따라 Google Cloud Storage 서비스 에이전트를 찾습니다 "Google Cloud 설명서: 클라우드 스토리지 서비스 에이전트 얻기".
-
암호화 키로 이동하여 Cloud KMS Encrypter/Decrypter 권한이 있는 Google Cloud Storage 서비스 에이전트를 할당합니다.
자세한 내용은 을 참조하십시오 "Google Cloud 설명서: 고객이 관리하는 암호화 키 사용"
-
-
작업 환경을 만들 때 API 요청과 함께 "GcpEncryption" 매개 변수를 사용합니다.
-
예 *
"gcpEncryptionParameters": { "key": "projects/project-1/locations/us-east4/keyRings/keyring-1/cryptoKeys/generatedkey1" }
-
을 참조하십시오 "BlueXP 자동화 문서" "GcpEncryption" 매개 변수 사용에 대한 자세한 내용은 를 참조하십시오.