将客户管理的加密密钥与 Cloud Volumes ONTAP 结合使用
虽然Google Cloud Storage始终会在数据写入磁盘之前对数据进行加密、但您可以使用BlueXP API创建一个使用_customer-managed encryption keys_的Cloud Volumes ONTAP 系统。这些密钥可通过云密钥管理服务在 GCP 中生成和管理。
-
确保在存储密钥的项目中、BlueXP Connector服务帐户在项目级别具有正确的权限。
权限在中提供 "默认情况下、Connector服务帐户权限"、但如果您使用云密钥管理服务的备用项目、则可能不会应用此功能。
权限如下:
- cloudkms.cryptoKeyVersions.useToEncrypt - cloudkms.cryptoKeys.get - cloudkms.cryptoKeys.list - cloudkms.keyRings.list
-
确保的服务帐户 "Google 计算引擎服务代理" 对密钥具有 Cloud KMS 加密器 / 解密器权限。
服务帐户的名称采用以下格式: "service-[service_project_number]@compute-system.iam.gserviceaccount.com 。
-
通过调用 ` GCP/vsa/metadata/gcp-encryption-keys` API 调用的 get 命令或在 GCP 控制台中的密钥上选择 " 复制资源名称 " 来获取密钥的 "id" 。
-
如果使用客户管理的加密密钥并将数据分层到对象存储、则BlueXP会尝试使用用于加密永久性磁盘的相同密钥。但是,您首先需要启用 Google Cloud Storage 存储分段才能使用密钥:
-
按照查找 Google Cloud Storage 服务代理 "Google Cloud 文档:获取云存储服务代理"。
-
导航到加密密钥,并为 Google Cloud Storage 服务代理分配 Cloud KMS 加密器 / 解密器权限。
有关详细信息,请参见 "Google Cloud 文档:使用客户管理的加密密钥"
-
-
创建工作环境时,请在 API 请求中使用 "GcpEncryption" 参数。
-
示例 *
"gcpEncryptionParameters": { "key": "projects/project-1/locations/us-east4/keyRings/keyring-1/cryptoKeys/generatedkey1" }
-
请参见 "BlueXP自动化文档" 有关使用 GcpEncryption 参数的详细信息,请参见。