简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

将客户管理的加密密钥与 Cloud Volumes ONTAP 结合使用

提供者 netapp-bcammett felix-melligan 下载此页面的 PDF

虽然 Google Cloud Storage 始终会在数据写入磁盘之前对数据进行加密,但您可以使用 Cloud Manager API 创建使用 customer-managed encryption keys 的 Cloud Volumes ONTAP 系统。这些密钥可通过云密钥管理服务在 GCP 中生成和管理。

步骤
  1. 确保 Cloud Manager Connector 服务帐户在存储密钥的项目中的项目级别具有正确的权限。

    权限由提供 "Cloud Manager YAML 文件" 默认情况下,如果您使用云密钥管理服务的备用项目,则可能不会应用此功能。

    权限如下:

    - cloudkms.cryptoKeyVersions.list
    - cloudkms.cryptoKeys.get
    - cloudkms.cryptoKeys.list
    - cloudkms.keyRings.list
  2. 确保的服务帐户 "Google 计算引擎服务代理" 对密钥具有 Cloud KMS 加密器 / 解密器权限。

    服务帐户的名称采用以下格式: "service-[service_project_number]@compute-system.iam.gserviceaccount.com 。

  3. 通过调用 ` GCP/vsa/metadata/gcp-encryption-keys` API 调用的 get 命令或在 GCP 控制台中的密钥上选择 " 复制资源名称 " 来获取密钥的 "id" 。

  4. 如果使用客户管理的加密密钥并将数据分层到对象存储,则 Cloud Manager 会尝试使用用于加密永久性磁盘的相同密钥。但是,您首先需要启用 Google Cloud Storage 存储分段才能使用密钥:

    1. 按照查找 Google Cloud Storage 服务代理 "Google Cloud 文档:获取云存储服务代理"

    2. 导航到加密密钥,并为 Google Cloud Storage 服务代理分配 Cloud KMS 加密器 / 解密器权限。

  5. 创建工作环境时,请在 API 请求中使用 "GcpEncryption" 参数。

    • 示例 *

    "gcpEncryptionParameters": {
        "key": "projects/project-1/locations/us-east4/keyRings/keyring-1/cryptoKeys/generatedkey1"
      }

请参见 "Cloud Manager 自动化文档" 有关使用 GcpEncryption 参数的详细信息,请参见。