Skip to main content
Todos os fornecedores de nuvem
  • Amazon Web Services
  • Google Cloud
  • Microsoft Azure
  • Todos os fornecedores de nuvem
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Usando chaves de criptografia gerenciadas pelo cliente com o Cloud Volumes ONTAP

Colaboradores
PDFs

Embora o Google Cloud Storage sempre criptografe seus dados antes de serem gravados no disco, você pode usar a API BlueXP  para criar um sistema Cloud Volumes ONTAP que use chaves de criptografia gerenciadas pelo cliente. Essas são as chaves que você gera e gerencia no GCP usando o Cloud Key Management Service.

Passos

  1. Certifique-se de que a conta de serviço do BlueXP  Connector tenha as permissões corretas no nível do projeto, no projeto em que a chave é armazenada.

    As permissões são fornecidas no "Permissões de conta de serviço do conetor por padrão", mas podem não ser aplicadas se você usar um projeto alternativo para o Cloud Key Management Service.

    As permissões são as seguintes:

    - cloudkms.cryptoKeyVersions.useToEncrypt
- cloudkms.cryptoKeys.get
- cloudkms.cryptoKeys.list
- cloudkms.keyRings.list

  2. Certifique-se de que a conta de serviço do "Google Compute Engine Service Agent" tem permissões de criptografia/Decrypter do Cloud KMS na chave.

    O nome da conta de serviço usa o seguinte formato: "Service-[Service_project_number] compute-system.iam.gserviceaccount.com".

    "Documentação do Google Cloud: Usando o IAM com o Cloud KMS - concedendo funções em um recurso"

  3. Obtenha o "id" da chave invocando o comando GET para a /gcp/vsa/metadata/gcp-encryption-keys chamada da API ou escolhendo "Copy Resource Name" na chave no console do GCP.

  4. Se estiver usando chaves de criptografia gerenciadas pelo cliente e disposição em camadas de dados no storage de objetos, o BlueXP  tentará utilizar as mesmas chaves usadas para criptografar os discos persistentes. Mas primeiro você precisará habilitar os buckets do Google Cloud Storage para usar as chaves:

    1. Localize o agente de serviço do Google Cloud Storage seguindo o "Documentação do Google Cloud: Obtendo o agente de serviço do Cloud Storage".

    2. Navegue até a chave de criptografia e atribua ao agente de serviço do Google Cloud Storage com permissões de criptografia/Decrypter do Cloud KMS.

    Para obter mais informações, consulte "Documentação do Google Cloud: Usando chaves de criptografia gerenciadas pelo cliente"

  5. Use o parâmetro "GcpEncryption" com sua solicitação de API ao criar um ambiente de trabalho.

    Exemplo

    "gcpEncryptionParameters": {
    "key": "projects/project-1/locations/us-east4/keyRings/keyring-1/cryptoKeys/generatedkey1"
  }

Consulte a "Documentos de automação BlueXP " para obter mais detalhes sobre como utilizar o parâmetro "GcpEncryption".