Membuat kebijakan CMEK

Halaman ini memberikan petunjuk tentang cara membuat kebijakan kunci enkripsi yang dikelola pelanggan (CMEK).

Membuat kebijakan CMEK

Gunakan petunjuk berikut untuk membuat kebijakan CMEK menggunakan Google Cloud konsol atau Google Cloud CLI:

Konsol

  1. Buka halaman NetApp Volumes di Google Cloud konsol.

    Buka NetApp Volumes

  2. Pilih CMEK policies.

  3. Di bagian Create a CMEK policy, klik Create.

  4. Masukkan nama unik di kolom name untuk kebijakan CMEK.

  5. Opsional: Tambahkan deskripsi di kolom description.

  6. Pilih region dari kolom region untuk kebijakan.

  7. Pilih kunci Cloud KMS dari opsi berikut:

    • Pilih dari kunci Cloud KMS dari project Anda yang muncul di menu drop-down.

    • Pilih Switch project jika Anda ingin mencari kunci Cloud KMS di project lain. Anda memerlukan roles/cloudkms.viewer di project yang dipilih agar dapat menjelajahi kunci.

    • Pilih Enter key manually jika Anda ingin memasukkan kunci secara manual. Hal ini berguna jika Anda tidak memiliki izin untuk mencari kunci yang ingin digunakan.

  8. Opsional: Tambahkan label di kolom labels.

  9. Klik Create.

Kebijakan CMEK Anda akan muncul di halaman kebijakan CMEK. Status kebijakan memiliki tanda seru. Tanda seru menunjukkan bahwa kebijakan ini memerlukan verifikasi sebelum dapat digunakan. Untuk mengetahui informasi selengkapnya, lihat Memverifikasi akses kunci.

gcloud

Gunakan petunjuk berikut untuk membuat kebijakan CMEK menggunakan Google Cloud CLI.

  1. Jalankan perintah kms-configs dengan parameter berikut:

    gcloud netapp kms-configs create CONFIG_NAME \
 --project=PROJECT_ID \
 --location=LOCATION \
 --kms-project=KEY_RING_PROJECT \
 --kms-location=KEY_RING_LOCATION \
 --kms-keyring=KEY_RING \
 --kms-key=KEY_NAME

Ganti informasi berikut:

  • CONFIG_NAME: nama konfigurasi yang akan dibuat. Nama ini harus unik per region.

  • PROJECT_ID: nama project tempat Anda ingin membuat kebijakan CMEK.

  • LOCATION: region konfigurasi yang akan dibuat. Google Cloud NetApp Volumes hanya mendukung satu konfigurasi per region.

  • KEY_RING_PROJECT: ID project dari project yang menghosting key ring KMS.

  • KEY_RING_LOCATION: lokasi key ring KMS.

  • KEY_RING: nama key ring KMS.

  • KEY_NAME: nama kunci KMS.

Untuk mengetahui opsi lainnya, lihat dokumentasi Google Cloud SDK untuk Cloud Key Management Service.

Langkah berikutnya

Verifikasi akses kunci.