Schlüsselzugriff überprüfen

Auf dieser Seite finden Sie eine Anleitung dazu, wie Sie den Schlüsselzugriff überprüfen, nachdem Sie eine Richtlinie für kundenverwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) erstellt haben.

Anwendungsfälle für die Schlüsselzugriffsbestätigung

Sie können die Schlüsselzugriffsüberprüfung jederzeit noch einmal ausführen, um Probleme mit dem Schlüssel zu ermitteln:

  • Deaktivierung von Schlüsseln: Wenn ein Schlüssel deaktiviert wird, wird der Datenzugriff auf Volumes beendet.

  • Löschen von Schlüsseln: Wenn ein Schlüssel gelöscht wird, kann der Zugriff auf Daten nicht wiederhergestellt werden. Sie können Volumes löschen, um Kapazität freizugeben. Weitere Informationen finden Sie unter Volume löschen.

  • Fehlende Berechtigungen: Wenn Berechtigungen entfernt werden, wird eine Anleitung zum Erteilen der Berechtigungen angezeigt. Weitere Informationen finden Sie unter Dienst die Berechtigung zum Lesen eines Schlüssels erteilen.

Dienst die Berechtigung zum Lesen eines Schlüssels erteilen

Wenn Sie einen CMEK-Schlüssel verwenden möchten, müssen Sie dem Dienst zuerst die Berechtigung zum Lesen des angegebenen Schlüssels erteilen. NetApp Volumes stellt die richtigen Google Cloud CLI-Befehle bereit. Um dem Dienst die erforderlichen Cloud KMS-Schlüsselberechtigungen zu gewähren, müssen Sie eine projektweite benutzerdefinierte Rolle mit den entsprechenden Berechtigungen und dann eine Schlüsselrollenbindung erstellen, die die benutzerdefinierte Rolle an das entsprechende Dienstkonto bindet. Sie benötigen die Berechtigungen des Rollenadministrators (roles/iam.RoleAdmin) für das Projekt in Ihrem Google-Konto, um die benutzerdefinierte Rolle zu erstellen, und die Berechtigungen des Cloud KMS-Administrators (roles/cloudkms.admin), um NetApp Volumes Zugriff auf den Schlüssel zu gewähren.

Führen Sie die folgenden Schritte aus, um dem Dienst die Berechtigung zum Lesen eines Schlüssels über die Google Cloud -Konsole oder die Google Cloud CLI zu erteilen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite NetApp-Volumes auf.

    Zu NetApp Volumes

  2. Wählen Sie CMEK-Richtlinien aus.

  3. Suchen Sie die CMEK-Richtlinie, die Sie bearbeiten möchten, und klicken Sie auf das Menü Mehr anzeigen.

  4. Wählen Sie Schlüsselzugriff bestätigen aus.

  5. Wenn Sie den Schlüsselzugriff noch nicht konfiguriert haben, schlägt die Überprüfung fehl und in der Benutzeroberfläche wird eine Anleitung zum Gewähren des Schlüsselzugriffs angezeigt. Nachdem Sie die erforderlichen Google Cloud CLI-Befehle ausgeführt haben, klicken Sie auf Nochmal versuchen, um die Schlüsselüberprüfung noch einmal auszuführen.

    Wenn die Bestätigung erfolgreich ist, wird ein Dialogfeld mit einer entsprechenden Meldung angezeigt. Wenn die Bestätigung fehlschlägt, klicken Sie auf Wiederholen, um die Schlüsselprüfung noch einmal auszuführen.

gcloud

Führen Sie folgenden Befehl kms-configs verify aus:

 gcloud netapp kms-configs verify CONFIG_NAME \
   --project=PROJECT_ID \
   --location=LOCATION

Ersetzen Sie die folgenden Informationen:

  • CONFIG_NAME: der Name der Konfiguration.

  • PROJECT_ID: die eindeutige Projekt-ID, für die Sie Zugriff gewähren möchten.

  • LOCATION: die Region der Konfiguration.

Wenn die Schlüsselprüfung erfolgreich ist, gibt der Befehl die folgende Meldung aus:

healthy: true

Wenn die Schlüsselbestätigung fehlschlägt, müssen Sie dem Schlüssel Zugriffsberechtigungen erteilen. Führen Sie den folgenden Befehl aus, um die Google Cloud CLI-Befehle zum Gewähren des Dienstschlüsselzugriffs zu ermitteln. Sie benötigen die Rolle cloudkms.admin, um den folgenden Befehl auszuführen.

  gcloud netapp kms-configs describe CONFIG_NAME \
   --project=PROJECT_ID \
   --location=LOCATION \
   --format="value(instructions)"

Weitere Informationen zu zusätzlichen optionalen Flags finden Sie in der Google Cloud SDK-Dokumentation für Cloud Key Management Service.

Weitere Informationen finden Sie in der Cloud Key Management Service-Nutzerdokumentation.

VPC Service Controls-Regel für eingehenden Traffic für CMEK konfigurieren

Wenn Sie VPC Service Controls verwenden, müssen Sie Ihre Regeln für eingehenden Traffic aktualisieren, um Traffic für das relevante Projekt, die Region und das Dienstkonto zuzulassen.

Verwenden Sie die folgende Vorlage, um die erforderlichen Berechtigungen zu konfigurieren.

   {
    "ingressFrom": {
      "identities": [
    "serviceAccount:n-cmek-usea4-1234567890@netapp-cmek-prod.iam.gserviceaccount.com"
       ],
       "sources": [
         {
          "resource": "projects/112233445566"
         }
       ]
   },
   "ingressTo": {
     "operations": [
       {
         "methodSelectors": [
           {
             "method": "*"
           }
       ],
       "serviceName": "cloudkms.googleapis.com"
       }
       ],
       "resources": [
         "projects/1234567890"
       ]
   },
   "title": "CMEK for NetApp Volumes"
   }

Aktualisieren Sie die folgenden Felder in der Vorlage:

  • ingressFrom.identities: Geben Sie eine durch Kommas getrennte Liste der von NetApp Volumes verwendeten Dienstkonten ein. Der Dienst verwendet ein eindeutiges Dienstkonto für jedes Projekt und jeden Standort im folgenden Format:

    serviceAccount:n-cmek-location-short-name-your-project-number@netapp-cmek-prod.iam.gserviceaccount.com

    Dabei ist location-short-name die Kurzform der Region, z. B. usea4 für us-east4, und your-project-number die Projektnummer.

    Sie können den Namen dieses Dienstkontos mit dem folgenden Befehl abfragen:

    gcloud netapp kms-configs describe NAME --location LOCATION --format="value(serviceAccount)"

    Ersetzen Sie die folgenden Informationen:

    • NAME: Der Name der CMEK-Richtlinie.
    • LOCATION: die Region der CMEK-Richtlinie.

    Das Beispiel in der Vorlage zeigt den Dienstkontonamen für das Google-Projekt 1234567890 in der Region us-east4.

  • ingressTo.resources: Geben Sie die Projektnummer des Projekts ein, das die Volumes enthält. Im Beispiel in der Vorlage wird projects/1234567890 verwendet.

  • ingressFrom.sources: Geben Sie eine durch Kommas getrennte Liste der Backend-Projekte ein, die vom Dienst verwendet werden. Sie müssen für jede Google-Region, in der Sie CMEK-Volumes hosten müssen, einen Eintrag hinzufügen. Wenden Sie sich an Google Cloud Customer Care, um die Backend-Projektnummer für Ihre Region zu erhalten. In der Vorlage ist projects/112233445566 ein Platzhalter, den Sie durch die Backend-Projektnummer für Ihre Region ersetzen müssen.

Sie können keine einzelnen Methoden für den cloudkms.googleapis.com-Dienst angeben. Sie müssen * verwenden, um alle Methoden zuzulassen.

Nächste Schritte

CMEK-Richtlinien verwalten