Skip to main content
모든 클라우드 공급자
  • Amazon Web Services에서 직접 지원합니다
  • Google 클라우드
  • Microsoft Azure를 참조하십시오
  • 모든 클라우드 공급자
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

Cloud Volumes ONTAP에서 고객이 관리하는 암호화 키 사용

기여자
PDF

Google 클라우드 스토리지는 디스크에 데이터를 쓰기 전에 항상 데이터를 암호화하지만 BlueXP API를 사용하여 고객이 관리하는 암호화 키 를 사용하는 Cloud Volumes ONTAP 시스템을 만들 수 있습니다. 클라우드 키 관리 서비스를 사용하여 GCP에서 생성하고 관리하는 키입니다.

단계

  1. BlueXP Connector 서비스 계정의 프로젝트 수준에서 키가 저장된 프로젝트에 대한 올바른 권한이 있는지 확인합니다.

    사용 권한은 에 제공됩니다 "기본적으로 커넥터 서비스 계정 권한이 있습니다", 그러나 클라우드 키 관리 서비스에 대체 프로젝트를 사용하는 경우에는 적용되지 않을 수 있습니다.

    사용 권한은 다음과 같습니다.

    - cloudkms.cryptoKeyVersions.useToEncrypt
- cloudkms.cryptoKeys.get
- cloudkms.cryptoKeys.list
- cloudkms.keyRings.list

  2. 에 대한 서비스 계정이 있는지 확인합니다 "Google Compute Engine 서비스 에이전트입니다" Cloud KMS Encrypter/Decrypter 권한이 키에 있습니다.

    서비스 계정 이름은 "service-[service_project_number]@compute-system.iam.gserviceaccount.com" 형식을 사용합니다.

    "Google Cloud 설명서: IAM을 Cloud KMS-Granting 역할과 함께 리소스에 사용"

  3. 에 대한 get 명령을 호출하여 키의 "id"를 가져옵니다 /gcp/vsa/metadata/gcp-encryption-keys API를 호출하거나 GCP 콘솔의 키에서 "Copy Resource Name"을 선택합니다.

  4. 고객이 관리하는 암호화 키를 사용하고 데이터를 오브젝트 스토리지에 계층화하는 경우 BlueXP는 영구 디스크를 암호화하는 데 사용되는 동일한 키를 사용하려고 합니다. 하지만 먼저 Google Cloud Storage 버킷을 활성화하여 키를 사용해야 합니다.

    1. 에 따라 Google Cloud Storage 서비스 에이전트를 찾습니다 "Google Cloud 설명서: 클라우드 스토리지 서비스 에이전트 얻기".

    2. 암호화 키로 이동하여 Cloud KMS Encrypter/Decrypter 권한이 있는 Google Cloud Storage 서비스 에이전트를 할당합니다.

    자세한 내용은 을 참조하십시오 "Google Cloud 설명서: 고객이 관리하는 암호화 키 사용"

  5. 작업 환경을 만들 때 API 요청과 함께 "GcpEncryption" 매개 변수를 사용합니다.

    • 예 *

    "gcpEncryptionParameters": {
    "key": "projects/project-1/locations/us-east4/keyRings/keyring-1/cryptoKeys/generatedkey1"
  }

을 참조하십시오 "BlueXP 자동화 문서" "GcpEncryption" 매개 변수 사용에 대한 자세한 내용은 를 참조하십시오.