本頁說明如何建立客戶代管的加密金鑰 (CMEK) 政策。
建立 CMEK 政策
按照下列操作說明,使用Google Cloud 控制台或 Google Cloud CLI 建立 CMEK 政策:
控制台
前往 Google Cloud 控制台的「NetApp Volumes」頁面。
選取「CMEK policies」(客戶自行管理加密金鑰政策)。
在「建立 CMEK 政策」下方,按一下「建立」。
在「name」欄位中,輸入 CMEK 政策的專屬名稱。
選用:在「說明」欄位中新增說明。
在政策的「區域」欄位中選取區域。
從下列選項選取 Cloud KMS 金鑰:
從下拉式選單中,選擇專案的 Cloud KMS 金鑰。
如要在其他專案中尋找 Cloud KMS 金鑰,請選取「切換專案」。您必須在所選專案中擁有
roles/cloudkms.viewer,才能瀏覽金鑰。如要手動輸入金鑰,請選取「手動輸入金鑰」。 如果您沒有權限查閱要使用的金鑰,這項功能就很有幫助。
選用:在「標籤」欄位中新增標籤。
點選「建立」。
CMEK 政策會顯示在 CMEK 政策頁面上。政策狀態會顯示驚嘆號。驚嘆號表示這項政策必須先經過驗證才能使用。詳情請參閱「驗證金鑰存取權」。
gcloud
請按照下列操作說明,使用 Google Cloud CLI 建立 CMEK 政策。
使用下列參數執行
kms-configs指令:gcloud netapp kms-configs create CONFIG_NAME \ --project=PROJECT_ID \ --location=LOCATION \ --kms-project=KEY_RING_PROJECT \ --kms-location=KEY_RING_LOCATION \ --kms-keyring=KEY_RING \ --kms-key=KEY_NAME
請替換下列資訊:
CONFIG_NAME:要建立的設定名稱。每個區域的名稱不得重複。PROJECT_ID:要在其中建立 CMEK 政策的專案名稱。LOCATION:要建立設定的區域。Google Cloud NetApp Volumes 每個區域僅支援一個設定。KEY_RING_PROJECT:託管 KMS 金鑰環的專案 ID。KEY_RING_LOCATION:KMS 金鑰環的位置。KEY_RING:KMS 金鑰環的名稱。KEY_NAME:KMS 金鑰名稱。
如需更多選項,請參閱 Google Cloud SDK 說明文件中的 Cloud Key Management Service。