Skip to main content
Cloud Volumes ONTAP
所有云提供商
  • Amazon Web Services
  • Google Cloud
  • Microsoft Azure
  • 所有云提供商
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

将客户管理的加密密钥与 Cloud Volumes ONTAP 结合使用

贡献者

虽然Google Cloud Storage始终会在数据写入磁盘之前对数据进行加密、但您可以使用BlueXP API创建一个使用_customer-managed encryption keys_的Cloud Volumes ONTAP 系统。这些密钥可通过云密钥管理服务在 GCP 中生成和管理。

步骤

  1. 确保在存储密钥的项目中、BlueXP Connector服务帐户在项目级别具有正确的权限。

    权限在中提供 "默认情况下、Connector服务帐户权限"、但如果您使用云密钥管理服务的备用项目、则可能不会应用此功能。

    权限如下:

    - cloudkms.cryptoKeyVersions.useToEncrypt
- cloudkms.cryptoKeys.get
- cloudkms.cryptoKeys.list
- cloudkms.keyRings.list

  2. 确保的服务帐户 "Google 计算引擎服务代理" 对密钥具有 Cloud KMS 加密器 / 解密器权限。

    服务帐户的名称采用以下格式: "service-[service_project_number]@compute-system.iam.gserviceaccount.com 。

    "Google Cloud 文档:将 IAM 与 Cloud KMS 结合使用—为资源授予角色"

  3. 通过调用 ` GCP/vsa/metadata/gcp-encryption-keys` API 调用的 get 命令或在 GCP 控制台中的密钥上选择 " 复制资源名称 " 来获取密钥的 "id" 。

  4. 如果使用客户管理的加密密钥并将数据分层到对象存储、则BlueXP会尝试使用用于加密永久性磁盘的相同密钥。但是,您首先需要启用 Google Cloud Storage 存储分段才能使用密钥:

    1. 按照查找 Google Cloud Storage 服务代理 "Google Cloud 文档:获取云存储服务代理"

    2. 导航到加密密钥,并为 Google Cloud Storage 服务代理分配 Cloud KMS 加密器 / 解密器权限。

    有关详细信息,请参见 "Google Cloud 文档:使用客户管理的加密密钥"

  5. 创建工作环境时,请在 API 请求中使用 "GcpEncryption" 参数。

    • 示例 *

    "gcpEncryptionParameters": {
    "key": "projects/project-1/locations/us-east4/keyRings/keyring-1/cryptoKeys/generatedkey1"
  }

请参见 "BlueXP自动化文档" 有关使用 GcpEncryption 参数的详细信息,请参见。