本繁體中文版使用機器翻譯，譯文僅供參考，若與英文版本牴觸，應以英文版本為準。

使用 Google Cloud KMS 管理Cloud Volumes ONTAP加密金鑰

10/06/2025 貢獻者

您可以使用"Google Cloud Platform 的金鑰管理服務（Cloud KMS）"在 Google Cloud Platform 部署的應用程式中保護您的Cloud Volumes ONTAP加密金鑰。

可以使用ONTAP CLI 或ONTAP REST API 啟用 Cloud KMS 的金鑰管理。

使用 Cloud KMS 時，請注意預設使用資料 SVM 的 LIF 與雲端金鑰管理端點進行通訊。節點管理網路用於與雲端提供者的身份驗證服務（oauth2.googleapis.com）進行通訊。如果叢集網路配置不正確，叢集將無法正確利用金鑰管理服務。

開始之前

配置

Google雲

在您的 Google Cloud 環境中，"建立對稱 GCP 金鑰環和金鑰" 。
為 Cloud KMS 金鑰和Cloud Volumes ONTAP服務帳戶指派自訂角色。
1. 建立自訂角色：
  gcloud iam roles create kmsCustomRole --project=<project_id> --title=<kms_custom_role_name> --description=<custom_role_description> --permissions=cloudkms.cryptoKeyVersions.get,cloudkms.cryptoKeyVersions.list,cloudkms.cryptoKeyVersions.useToDecrypt,cloudkms.cryptoKeyVersions.useToEncrypt,cloudkms.cryptoKeys.get,cloudkms.keyRings.get,cloudkms.locations.get,cloudkms.locations.list,resourcemanager.projects.get --stage=GA
2. 指派您建立的自訂角色：
  gcloud kms keys add-iam-policy-binding key_name --keyring key_ring_name --location key_location --member serviceAccount:_service_account_Name_ --role projects/customer_project_id/roles/kmsCustomRole
  
  如果您使用的是Cloud Volumes ONTAP 9.13.0 或更高版本，則無需建立自訂角色。您可以指派預定義的[cloudkms.cryptoKeyEncrypterDecrypter^] 角色。
下載服務帳戶 JSON 金鑰：
gcloud iam service-accounts keys create key-file --iam-account=sa-name@project-id.iam.gserviceaccount.com

Cloud Volumes ONTAP

使用您首選的 SSH 用戶端連線到叢集管理 LIF。
切換到進階權限等級：
set -privilege advanced
為資料 SVM 建立 DNS。
dns create -domains c.<project>.internal -name-servers server_address -vserver SVM_name
建立 CMEK 條目：
security key-manager external gcp enable -vserver SVM_name -project-id project -key-ring-name key_ring_name -key-ring-location key_ring_location -key-name key_name
出現提示時，請輸入您的 GCP 帳戶中的服務帳戶 JSON 金鑰。
確認啟用流程成功：
security key-manager external gcp check -vserver svm_name
可選：建立磁碟區來測試加密 vol create volume_name -aggregate aggregate -vserver vserver_name -size 10G

如果需要進行故障排除，您可以在上面的最後兩個步驟中追蹤原始 REST API 日誌：