本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

搭配 Cloud Volumes ONTAP 使用客戶管理的加密金鑰

雖然Google Cloud Storage會在資料寫入磁碟之前先加密資料、但您可以使用Cloud Manager API來建立Cloud Volumes ONTAP 使用_客戶管理的加密金鑰_的支援系統。這些是您使用 Cloud Key Management Service 在 GCP 中產生及管理的金鑰。

步驟
  1. 確保Cloud Manager Connector服務帳戶在專案層級(儲存金鑰的專案)擁有正確的權限。

    權限由提供 "Cloud Manager Yaml檔案" 根據預設、但如果您使用雲端金鑰管理服務的替代專案、則可能無法套用。

    權限如下:

    - cloudkms.cryptoKeyVersions.list
    - cloudkms.cryptoKeys.get
    - cloudkms.cryptoKeys.list
    - cloudkms.keyRings.list
  2. 確認的服務帳戶 "Google Compute Engine服務代理程式" 具有金鑰的Cloud KMS Encrypter/Dec供 解密權限。

    服務帳戶名稱使用下列格式:「service-[service_project _number]@ compute-system.iam.gserviceaccount.com」。

  3. 若要取得金鑰的「ID」、請叫用「/GCP / VSA /中繼資料/ GCP加密金鑰」API呼叫的「Get」命令、或在GCP主控台的金鑰上選擇「Copy Resource Name」(複製資源名稱)。

  4. 如果使用客戶管理的加密金鑰和分層資料來物件儲存設備、Cloud Manager會嘗試使用相同的金鑰來加密持續磁碟。但您必須先啟用Google Cloud Storage儲存桶、才能使用這些金鑰:

    1. 請依照下列步驟尋找Google Cloud Storage服務代理程式 "Google Cloud文件:取得Cloud Storage服務代理程式"

    2. 瀏覽至加密金鑰、並指派具有Cloud KMS Encrypter/Decypter權限的Google Cloud Storage服務代理程式。

  5. 建立工作環境時、請將「 GcpEncryption 」參數搭配 API 要求使用。

    • 範例 *

    "gcpEncryptionParameters": {
        "key": "projects/project-1/locations/us-east4/keyRings/keyring-1/cryptoKeys/generatedkey1"
      }

請參閱 "Cloud Manager自動化文件" 如需使用「 GcpEncryption 」參數的詳細資訊、