Skip to main content
Cloud Volumes ONTAP
所有雲端供應商
  • Amazon Web Services
  • Google Cloud
  • Microsoft Azure
  • 所有雲端供應商
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

搭配 Cloud Volumes ONTAP 使用客戶管理的加密金鑰

貢獻者

雖然Google Cloud Storage會在資料寫入磁碟之前先加密資料、但您可以使用BlueXP API來建立Cloud Volumes ONTAP 使用_客戶管理的加密金鑰_的支援系統。這些是您使用 Cloud Key Management Service 在 GCP 中產生及管理的金鑰。

步驟

  1. 確認BlueXP Connector服務帳戶在專案層級(儲存金鑰的專案)擁有正確的權限。

    權限會在中提供 "連接器服務帳戶權限依預設"、但如果您使用雲端金鑰管理服務的替代專案、則可能無法套用。

    權限如下:

    - cloudkms.cryptoKeyVersions.useToEncrypt
- cloudkms.cryptoKeys.get
- cloudkms.cryptoKeys.list
- cloudkms.keyRings.list

  2. 確認的服務帳戶 "Google Compute Engine服務代理程式" 具有金鑰的Cloud KMS Encrypter/Dec供 解密權限。

    服務帳戶名稱使用下列格式:「service-[service_project _number]@ compute-system.iam.gserviceaccount.com」。

    "Google Cloud文件:使用IAM搭配Cloud KMS使用-授予資源角色"

  3. 若要取得金鑰的「ID」、請叫用「/GCP / VSA /中繼資料/ GCP加密金鑰」API呼叫的「Get」命令、或在GCP主控台的金鑰上選擇「Copy Resource Name」(複製資源名稱)。

  4. 如果使用客戶管理的加密金鑰和分層資料來物件儲存設備、則BlueXP會嘗試使用相同的金鑰來加密持續磁碟。但您必須先啟用Google Cloud Storage儲存桶、才能使用這些金鑰:

    1. 請依照下列步驟尋找Google Cloud Storage服務代理程式 "Google Cloud文件:取得Cloud Storage服務代理程式"

    2. 瀏覽至加密金鑰、並指派具有Cloud KMS Encrypter/Decypter權限的Google Cloud Storage服務代理程式。

    如需詳細資訊、請參閱 "Google Cloud文件:使用客戶管理的加密金鑰"

  5. 建立工作環境時、請將「 GcpEncryption 」參數搭配 API 要求使用。

    • 範例 *

    "gcpEncryptionParameters": {
    "key": "projects/project-1/locations/us-east4/keyRings/keyring-1/cryptoKeys/generatedkey1"
  }

請參閱 "藍圖XP自動化文件" 如需使用「 GcpEncryption 」參數的詳細資訊、