简体中文版经机器翻译而成，仅供参考。如与英语版出现任何冲突，应以英语版为准。

使用Google Cloud KMS管理Cloud Volumes ONTAP加密密钥

08/11/2025 贡献者

您可以使用"Google Cloud Platform 的密钥管理服务（ Cloud KMS ）"保护Google Cloud Platform部署的应用程序中的Cloud Volumes ONTAP加密密钥。

可以使用ONTAP命令行界面或ONTAP REST API启用云KMS的密钥管理。

使用Cloud KMS时、请注意、默认情况下、数据SVM的LIF用于与云密钥管理端点进行通信。节点管理网络用于与云提供商的身份验证服务(oauth2.googleapis.com)进行通信。如果集群网络配置不正确，集群将无法正确利用密钥管理服务。

开始之前

Configuration

Google Cloud

在Google Cloud环境中、 "创建对称GCP密钥环和密钥"。
为 Cloud KMS 密钥和 Cloud Volumes ONTAP 服务帐户分配自定义角色。
1. 创建自定义角色：
  gcloud iam roles create kmsCustomRole --project=<project_id> --title=<kms_custom_role_name> --description=<custom_role_description> --permissions=cloudkms.cryptoKeyVersions.get,cloudkms.cryptoKeyVersions.list,cloudkms.cryptoKeyVersions.useToDecrypt,cloudkms.cryptoKeyVersions.useToEncrypt,cloudkms.cryptoKeys.get,cloudkms.keyRings.get,cloudkms.locations.get,cloudkms.locations.list,resourcemanager.projects.get --stage=GA
2. 分配您创建的自定义角色：
  gcloud kms keys add-iam-policy-binding key_name --keyring key_ring_name --location key_location --member serviceAccount:_service_account_Name_ --role projects/customer_project_id/roles/kmsCustomRole
  
  如果您使用的是 Cloud Volumes ONTAP 9.13.0 或更高版本，则无需创建自定义角色。您可以分配预定义的[cloudkms.cryptoKeyEncrypterDecrypter ^] 角色。
下载服务帐户JSON密钥：gcloud iam service-accounts keys create key-file -iam-account=sa-name@project-id.iam.gserviceaccount.com

Cloud Volumes ONTAP

使用首选SSH客户端连接到集群管理LIF。
切换到高级权限级别：set -privilege advanced
为数据SVM创建DNS。dns create -domains C.<project>.internal -name-servers server_address-vserver svm_name
创建CMEE条目：security key-manager external gcp enable -vserver svm_name-project-id project-key-ring-name key_ring_name-key-ring-location key_ring_location-key-name key_name
出现提示时、输入GCP帐户中的服务帐户JSON密钥。
确认已启用的过程成功：security key-manager external GCP check -vserver svm_name
可选：创建一个卷以测试加密`vol create volume_name-aggregate aggregate-vserver vserver_name-size 10G`

如果您需要进行故障排除、可以在上述最后两个步骤中结束原始REST API日志：