En esta página, se proporcionan instrucciones para verificar el acceso a la clave después de crear una política de claves de encriptación administradas por el cliente (CMEK).
Casos de uso clave de verificación de acceso
En cualquier momento, puedes volver a ejecutar la verificación de acceso a la llave para identificar problemas con ella:
Inhabilitación de la clave: Si se inhabilita una clave, se detiene el acceso a los datos de los volúmenes.
Destrucción de claves: Si se destruye una clave, no se puede restablecer el acceso a los datos. Puedes borrar volúmenes para liberar capacidad. Para obtener más información, consulta Borra un volumen.
Faltan permisos: Si se quitan permisos, aparecerán las instrucciones para otorgarlos. Consulta Cómo otorgar permiso al servicio para leer una clave.
Otorga permiso al servicio para leer una clave
Para usar una clave CMEK, primero debes otorgar permiso al servicio para leer la clave especificada. NetApp Volumes proporciona los comandos correctos de Google Cloud CLI. Para otorgar los permisos necesarios de la clave de Cloud KMS al servicio, debes crear un rol personalizado para todo el proyecto con los permisos adecuados y, luego, una vinculación de rol de clave que vincule el rol personalizado a la cuenta de servicio adecuada. Necesitas los permisos de administrador de roles (roles/iam.RoleAdmin) en el proyecto dentro de tu Cuenta de Google para crear el rol personalizado y los permisos de administrador de Cloud KMS (roles/cloudkms.admin) para otorgar acceso a NetApp Volumes a la clave.
Sigue estas instrucciones para otorgar permiso al servicio para leer una clave con la consola de Google Cloud o Google Cloud CLI.
Console
Ve a la página NetApp Volumes en la consola de Google Cloud .
Selecciona Políticas de CMEK.
Busca la política de CMEK que deseas editar y haz clic en el menú Mostrar más.
Selecciona Verificar el acceso a la clave.
Si aún no configuraste el acceso a la llave, la verificación fallará y la IU mostrará instrucciones para otorgar acceso a la llave. Después de ejecutar los comandos necesarios de Google Cloud CLI, haz clic en Reintentar para volver a ejecutar la verificación de claves.
Si la verificación se realiza correctamente, aparecerá un diálogo que lo indicará. Si la verificación no se realiza correctamente, haz clic en Reintentar para volver a ejecutar la verificación de la clave.
gcloud
Ejecuta el siguiente comando kms-configs verify:
gcloud netapp kms-configs verify CONFIG_NAME \ --project=PROJECT_ID \ --location=LOCATION
Reemplaza la siguiente información:
CONFIG_NAME: Es el nombre de la configuración.PROJECT_ID: Es el ID del proyecto único para el que deseas otorgar acceso.LOCATION: Es la región de la configuración.
Si la verificación de la clave se realiza correctamente, el comando mostrará el siguiente mensaje:
healthy: true
Si falla la verificación de la clave, debes otorgar permisos de acceso a la clave.
Ejecuta el siguiente comando para identificar los comandos de Google Cloud CLI que otorgan acceso a la clave de servicio. Necesitas el rol de cloudkms.admin para ejecutar el siguiente comando.
gcloud netapp kms-configs describe CONFIG_NAME \ --project=PROJECT_ID \ --location=LOCATION \ --format="value(instructions)"
Para obtener más información sobre las marcas opcionales adicionales, consulta la documentación del SDK de Google Cloud para Cloud Key Management Service.
Para obtener más información, consulta la documentación del usuario de Cloud Key Management Service.
Configura la regla de entrada de los Controles del servicio de VPC para la CMEK
Si usas los Controles del servicio de VPC, debes actualizar tus reglas de entrada para permitir el tráfico del proyecto, la región y la cuenta de servicio pertinentes.
Usa la siguiente plantilla para configurar los permisos necesarios.
{
"ingressFrom": {
"identities": [
"serviceAccount:n-cmek-usea4-1234567890@netapp-cmek-prod.iam.gserviceaccount.com"
],
"sources": [
{
"resource": "projects/112233445566"
}
]
},
"ingressTo": {
"operations": [
{
"methodSelectors": [
{
"method": "*"
}
],
"serviceName": "cloudkms.googleapis.com"
}
],
"resources": [
"projects/1234567890"
]
},
"title": "CMEK for NetApp Volumes"
}
Actualiza los siguientes campos en la plantilla:
ingressFrom.identities: Ingresa una lista separada por comas de las cuentas de servicio que usan NetApp Volumes. El servicio usa una cuenta de servicio única para cada proyecto y ubicación con el siguiente formato:
serviceAccount:n-cmek-location-short-name-your-project-number@netapp-cmek-prod.iam.gserviceaccount.comdonde
location-short-namees la forma abreviada de la región, por ejemplo,usea4paraus-east4, yyour-project-numberes el número del proyecto.Puedes consultar el nombre de esta cuenta de servicio con el siguiente comando:
gcloud netapp kms-configs describe NAME --location LOCATION --format="value(serviceAccount)"
Reemplaza la siguiente información:
NAME: Es el nombre de la política de CMEK.LOCATION: Es la región de la política de CMEK.
En el ejemplo de la plantilla, se muestra el nombre de la cuenta de servicio para el proyecto de Google
1234567890en la regiónus-east4.ingressTo.resources: Ingresa el número del proyecto que contiene los volúmenes. En el ejemplo de la plantilla, se usa
projects/1234567890.ingressFrom.sources: Ingresa una lista separada por comas de los proyectos de backend que usa el servicio. Debes agregar una entrada para cada región de Google en la que necesites alojar volúmenes protegidos por CMEK. Para obtener el número de proyecto de backend de tu región, comunícate con el equipo de Atención al cliente de Google Cloud. En la plantilla,
projects/112233445566es un marcador de posición que debes reemplazar por el número de proyecto de backend de tu región.
No puedes especificar métodos individuales para el servicio cloudkms.googleapis.com; debes usar * para permitir todos los métodos.
¿Qué sigue?
Administra las políticas de CMEK.