Créer une stratégie CMEK

Cette page explique comment créer une stratégie de clé de chiffrement gérée par le client (CMEK).

Créer une stratégie CMEK

Suivez les instructions ci-dessous pour créer une stratégie CMEK à l'aide de la Google Cloud console ou de Google Cloud CLI :

Console

  1. Accédez à la page NetApp Volumes dans la Google Cloud console.

    Accéder à NetApp Volumes

  2. Sélectionnez Règles CMEK.

  3. Sous Créer une règle CMEK, cliquez sur Créer.

  4. Saisissez un nom unique dans le champ name (nom) pour la règle CMEK.

  5. Facultatif : Ajoutez une description dans le champ description.

  6. Sélectionnez une région dans le champ region (région) pour la règle.

  7. Sélectionnez une clé Cloud KMS parmi les options suivantes :

    • Choisissez parmi les clés Cloud KMS de votre projet qui apparaissent dans le menu déroulant.

    • Sélectionnez Changer de projet si vous souhaitez rechercher une clé Cloud KMS dans un autre projet. Vous devez disposer du rôle roles/cloudkms.viewer dans le projet sélectionné pour pouvoir parcourir les clés.

    • Sélectionnez Saisir la clé manuellement si vous souhaitez saisir une clé manuellement. Cette option est utile si vous ne disposez pas des autorisations nécessaires pour rechercher la clé que vous souhaitez utiliser.

  8. Facultatif : Ajoutez un libellé dans le champ labels (libellés).

  9. Cliquez sur Créer.

Votre règle CMEK s'affiche sur la page "Règles CMEK". L'état de la règle est indiqué par un point d'exclamation. Ce point d'exclamation indique que cette règle doit être validée avant de pouvoir être utilisée. Pour en savoir plus, consultez la section Valider l'accès aux clés.

gcloud

Suivez les instructions ci-dessous pour créer une stratégie CMEK à l'aide de Google Cloud CLI.

  1. Exécutez la commande kms-configs avec les paramètres suivants :

    gcloud netapp kms-configs create CONFIG_NAME \
 --project=PROJECT_ID \
 --location=LOCATION \
 --kms-project=KEY_RING_PROJECT \
 --kms-location=KEY_RING_LOCATION \
 --kms-keyring=KEY_RING \
 --kms-key=KEY_NAME

Remplacez les informations suivantes :

  • CONFIG_NAME : nom de la configuration à créer. Ce nom doit être unique par région.

  • PROJECT_ID: nom du projet dans lequel vous souhaitez créer la règle CMEK.

  • LOCATION: région dans laquelle créer la configuration. Google Cloud NetApp Volumes n'accepte qu'une seule configuration par région.

  • KEY_RING_PROJECT: ID du projet hébergeant le trousseau de clés KMS.

  • KEY_RING_LOCATION: emplacement du trousseau de clés KMS.

  • KEY_RING : nom du trousseau de clés KMS.

  • KEY_NAME : nom de la clé KMS.

Pour plus d'options, consultez la documentation du SDK Google Cloud pour Cloud Key Management Service.

Étape suivante

Validez l'accès aux clés.