本页面介绍了如何使用客户管理的加密密钥 (CMEK) 来管理 Google Cloud NetApp Volumes。
CMEK 简介
NetApp Volumes 始终使用卷专用密钥对数据进行加密。NetApp Volumes 始终会对静态数据进行加密。
借助 CMEK,Cloud Key Management Service 会封装您存储的卷密钥。借助此功能,您可以更好地控制所用的加密密钥,并获得将密钥存储在与数据不同的系统或位置所带来的额外安全性。 NetApp Volumes 支持 Cloud Key Management Service 功能,例如硬件安全模块,以及生成、使用、轮替和销毁的完整密钥管理生命周期。
NetApp Volumes 支持每个区域使用一项 CMEK 政策。CMEK 政策会附加到存储池,并且在该池中创建的所有卷都会使用该政策。您可以在一个区域中混合使用具有 CMEK 政策和不具有 CMEK 政策的存储池。如果您在特定区域中拥有未使用 CMEK 的池,则可以使用区域的 CMEK 政策的迁移操作将其转换为 CMEK。
我们并不强制要求使用 CMEK。如果使用,CMEK 政策是特定于区域的。每个区域只能配置一项政策。
注意事项
以下部分列出了需要考虑的 CMEK 限制。
密钥管理
如果使用 CMEK,您需要自行负责管理密钥和数据。
Cloud KMS 配置
CMEK 使用对称密钥进行加密和解密。
当项目中的某个区域的所有卷都被删除后,Cloud KMS 配置会恢复为 Ready 创建状态。当您在该区域中创建下一个卷时,系统会再次使用该密钥。
区域密钥环
NetApp Volumes 仅支持区域级 KMS 密钥环,并且这些密钥环需要与 CMEK 政策位于同一区域。
服务等级
CMEK 支持 Flex、Standard、Premium 和 Extreme 服务等级的存储池。
VPC Service Controls
使用 VPC Service Controls 时,请务必考虑 VPC Service Controls 对 NetApp Volumes 的限制。
CMEK 组织政策
NetApp Volumes 的 CMEK 组织政策可让组织控制数据加密密钥,并限制可用于 CMEK 的密钥。为此,我们强制要求使用 CMEK 来加密新存储池和备份保险库中的静态数据,并允许组织使用 Cloud KMS 管理加密密钥。组织政策在创建存储池和备份保险柜时强制执行,不会影响现有的存储池和备份保险柜。
组织政策可让管理员在所有项目和资源中应用并强制执行一致的限制。对于管理多个项目和资源的组织来说,这对于强制执行标准化政策非常重要。
有两类组织政策限制条件可应用于 CMEK:
限制非 CMEK 服务:可让您指定组织、项目或文件夹中的哪些服务可以在没有 CMEK 的情况下进行配置。如果您将某项服务添加到拒绝名单中或在许可名单中排除该服务,则该服务的资源将需要 CMEK。默认情况下,此限制条件允许创建非 CMEK 资源。
限制 CMEK CryptoKey 项目:可让您在组织、项目或文件夹中配置资源时,定义哪些项目可以为 CMEK 提供 KMS 密钥。如果设置了此限制条件,则只有指定项目中的 KMS 密钥可用于受 CMEK 保护的资源。如果未设置限制,则可以使用任何项目的 CryptoKey。
如需详细了解如何应用组织政策,请参阅应用 CMEK 组织政策。
CMEK 选项
NetApp Volumes 支持 CMEK,CMEK 可以作为软件密钥、HSM 集群中的硬件密钥或存储在 Cloud External Key Manager (Cloud EKM) 中的外部密钥进行存储。
如需了解详情,请参阅 Cloud Key Management Service。
关键错误的运营影响
CMEK 政策中使用的 Cloud KMS 密钥被停用或外部密钥无法访问,可能会影响与该政策关联的 NetApp Volumes 和备份保险库的资源和操作。
外部密钥由第三方管理,Google Google Cloud 不对密钥可用性负责。
卷
如果外部密钥管理器 (EKM) 通知 Cloud Key Management Service 某个外部密钥无法访问,则使用该密钥的卷会离线,从而阻止读取和写入操作。如果 Cloud KMS 密钥已停用,也会出现相同的结果。
备份保险柜
对于使用 CMEK 的备份保险柜,您必须确保备份保险柜引用的密钥或多个密钥可用。轮替密钥时,系统会使用新的主密钥对备份保险库执行重新加密操作。在完成此操作之前,轮换后的密钥必须可供备份保险柜使用。如果您删除轮换后的密钥,则无法恢复指向该密钥的备份。如果轮换后的密钥无法访问或已停用,则恢复操作会失败,直到该密钥可访问或已启用为止。
如果主密钥处于已停用、无法访问或已销毁状态,则正在进行的加密操作会失败。如果您无法恢复主密钥,则无法恢复指向该密钥的所有加密备份。备份保险柜不会启动新的备份操作。
备份保险库的状态包括有关 CMEK 和加密状态的详细信息。
如果 EKM 无法访问,或者 Cloud KMS 密钥在复制的源区域或目标区域中处于停用状态,用户尝试执行以下任一操作时,也会收到一条错误消息,其中包含有关密钥当前状态的详细信息: