将客户管理的加密密钥与Cloud Volumes ONTAP结合使用
建议更改
PDF
虽然 Google Cloud Storage 始终会在将数据写入磁盘之前对其进行加密,但您可以使用 API 创建使用_客户管理加密密钥_的Cloud Volumes ONTAP系统。这些是您使用云密钥管理服务在 GCP 中生成和管理的密钥。
-
确保控制台代理服务帐户在存储密钥的项目中具有项目级别的正确权限。
权限在 "默认的服务帐户权限",但如果您使用云密钥管理服务的替代项目,则可能无法应用。
权限如下:
- cloudkms.cryptoKeyVersions.useToEncrypt - cloudkms.cryptoKeys.get - cloudkms.cryptoKeys.list - cloudkms.keyRings.list -
确保 "Google Compute Engine 服务代理"对密钥具有 Cloud KMS 加密器/解密器权限。
服务帐户的名称使用以下格式:“service-[service_project_number]@compute-system.iam.gserviceaccount.com”。
-
通过调用 get 命令获取密钥的“id”
/gcp/vsa/metadata/gcp-encryption-keysAPI 调用或通过在 GCP 控制台中的键上选择“复制资源名称”。 -
如果使用客户管理的加密密钥并将数据分层到对象存储, NetApp控制台会尝试使用用于加密持久磁盘的相同密钥。但您首先需要启用 Google Cloud Storage 存储桶才能使用密钥:
-
按照以下步骤查找 Google Cloud Storage 服务代理 "Google Cloud 文档:获取云存储服务代理"。
-
导航到加密密钥并为 Google Cloud Storage 服务代理分配 Cloud KMS Encrypter/Decrypter 权限。
有关详细信息,请参阅 "Google Cloud 文档:使用客户管理的加密密钥"
-
-
创建系统时,请在 API 请求中使用“GcpEncryption”参数。
例子
"gcpEncryptionParameters": { "key": "projects/project-1/locations/us-east4/keyRings/keyring-1/cryptoKeys/generatedkey1" }
请参阅 "NetApp控制台自动化文档"有关使用“GcpEncryption”参数的更多详细信息。