本繁體中文版使用機器翻譯，譯文僅供參考，若與英文版本牴觸，應以英文版本為準。

使用 Google Cloud KMS 管理 Cloud Volumes ONTAP 加密金鑰

08/11/2025 貢獻者

您可以在部署 Google Cloud Platform 的應用程式中，使用來"Google Cloud Platform的金鑰管理服務（雲端KMS）"保護您的 Cloud Volumes ONTAP 加密金鑰。

您可以使用 ONTAP CLI 或 ONTAP REST API 來啟用雲端 KMS 的金鑰管理。

使用 Cloud KMS 時、請注意、根據預設、會使用 Data SVM 的 LIF 與雲端金鑰管理端點通訊。節點管理網路用於與雲端供應商的驗證服務（oauth2.googleapis.com）進行通訊。如果叢集網路設定不正確、叢集將無法正確使用金鑰管理服務。

開始之前

組態

Google Cloud

在您的Google Cloud環境中、 "建立對稱的GCP金鑰環和金鑰"。
為 Cloud KMS 金鑰和 Cloud Volumes ONTAP 服務帳戶指派自訂角色。
1. 建立自訂角色：
  gcloud iam roles create kmsCustomRole --project=<project_id> --title=<kms_custom_role_name> --description=<custom_role_description> --permissions=cloudkms.cryptoKeyVersions.get,cloudkms.cryptoKeyVersions.list,cloudkms.cryptoKeyVersions.useToDecrypt,cloudkms.cryptoKeyVersions.useToEncrypt,cloudkms.cryptoKeys.get,cloudkms.keyRings.get,cloudkms.locations.get,cloudkms.locations.list,resourcemanager.projects.get --stage=GA
2. 指派您建立的自訂角色：
  gcloud kms keys add-iam-policy-binding key_name --keyring key_ring_name --location key_location --member serviceAccount:_service_account_Name_ --role projects/customer_project_id/roles/kmsCustomRole
  
  如果您使用的是 Cloud Volumes ONTAP 9.13.0 或更高版本，則無需建立自訂角色。您可以指派預定義的[cloudkms.cryptoKeyEncrypterDecrypter ^] 角色。
下載服務帳戶Json金鑰：「gCloud iam服務帳戶金鑰可建立金鑰檔案-iam-account=sa-name@project-id.iam.gserviceaccount.com」

Cloud Volumes ONTAP

使用您偏好的SSH用戶端連線至叢集管理LIF。
切換至進階權限等級：「et -priv榮幸進階」
為資料SVM建立DNS。「建立網域C_<project >_.internal -name-servers server_address-vserver Svm_name」
建立CMEK項目：「安全金鑰管理程式外部GCP啟用-vserver Svm_name-project -id project _-key-ring_name _key_ring_name-key-ring_location key_ring_stip-key-name key_name」
出現提示時、請從GCP帳戶輸入服務帳戶Json金鑰。
確認啟用的程序成功：「安全金鑰管理程式外部GCP檢查-vserver svm_name」
選用：建立磁碟區以測試加密「volvol create volvolvole_name-Aggregate Aggregate _-vserver _vserver_name-size 10G」

如果您需要疑難排解、可以跳接上述最後兩個步驟中的原始REST API記錄：