Memverifikasi akses kunci

Halaman ini memberikan petunjuk tentang cara memverifikasi akses kunci setelah Anda membuat kebijakan kunci enkripsi yang dikelola pelanggan (CMEK).

Kasus penggunaan verifikasi akses kunci

Kapan saja, Anda dapat menjalankan ulang verifikasi akses kunci untuk mengidentifikasi masalah pada kunci:

  • Penonaktifan kunci: jika kunci dinonaktifkan, akses data ke volume akan berhenti.

  • Penghancuran kunci: jika kunci dihancurkan, akses ke data tidak dapat dipulihkan. Anda dapat menghapus volume untuk mengosongkan kapasitas. Untuk mengetahui informasi selengkapnya, lihat Menghapus volume.

  • Izin tidak ada: jika izin dihapus, petunjuk untuk memberikannya akan muncul. Lihat Memberi layanan izin untuk membaca kunci.

Memberikan izin layanan untuk membaca kunci

Untuk menggunakan kunci CMEK, Anda harus memberikan izin layanan untuk membaca kunci yang ditentukan terlebih dahulu. NetApp Volumes menyediakan perintah Google Cloud CLI yang benar. Untuk memberikan izin kunci Cloud KMS yang diperlukan ke layanan, Anda perlu membuat peran khusus di seluruh project dengan izin yang sesuai, lalu membuat pengikatan peran kunci yang mengikat peran khusus ke akun layanan yang sesuai. Anda memerlukan izin Administrator Peran (roles/iam.RoleAdmin) di project dalam Akun Google Anda untuk membuat peran kustom dan izin Admin Cloud KMS (roles/cloudkms.admin) untuk memberikan akses NetApp Volumes ke kunci.

Gunakan petunjuk berikut untuk memberikan izin layanan untuk membaca kunci menggunakan konsol Google Cloud atau Google Cloud CLI.

Konsol

  1. Buka halaman NetApp Volumes di konsol Google Cloud .

    Buka NetApp Volumes

  2. Pilih CMEK policies.

  3. Temukan kebijakan CMEK yang ingin Anda edit, lalu klik menu Tampilkan lebih banyak.

  4. Pilih Verifikasi akses kunci.

  5. Jika Anda belum mengonfigurasi akses kunci, verifikasi akan gagal dan UI akan menampilkan petunjuk tentang cara memberikan akses kunci. Setelah Anda menjalankan perintah Google Cloud CLI yang diperlukan, klik Coba Lagi untuk menjalankan verifikasi kunci lagi.

    Jika verifikasi berhasil, dialog akan muncul yang menunjukkan verifikasi berhasil. Jika verifikasi gagal, klik Coba lagi untuk menjalankan kembali pemeriksaan kunci.

gcloud

Jalankan perintah kms-configs verify berikut:

 gcloud netapp kms-configs verify CONFIG_NAME \
   --project=PROJECT_ID \
   --location=LOCATION

Ganti informasi berikut:

  • CONFIG_NAME: nama konfigurasi.

  • PROJECT_ID: ID project unik yang ingin Anda berikan aksesnya.

  • LOCATION: region konfigurasi.

Jika verifikasi kunci berhasil, perintah akan menampilkan pesan berikut:

healthy: true

Jika verifikasi kunci gagal, Anda harus memberikan izin akses ke kunci. Jalankan perintah berikut untuk mengidentifikasi perintah Google Cloud CLI guna memberikan akses kunci layanan. Anda memerlukan peran cloudkms.admin untuk menjalankan perintah berikut.

  gcloud netapp kms-configs describe CONFIG_NAME \
   --project=PROJECT_ID \
   --location=LOCATION \
   --format="value(instructions)"

Untuk mengetahui informasi selengkapnya tentang tanda opsional tambahan, lihat dokumentasi Google Cloud SDK untuk Cloud Key Management Service.

Untuk mengetahui informasi selengkapnya, lihat dokumentasi pengguna Cloud Key Management Service.

Mengonfigurasi aturan ingress Kontrol Layanan VPC untuk CMEK

Jika Anda menggunakan Kontrol Layanan VPC, Anda harus memperbarui aturan ingress untuk mengizinkan traffic bagi project, region, dan akun layanan yang relevan.

Gunakan template berikut untuk mengonfigurasi izin yang diperlukan.

   {
    "ingressFrom": {
      "identities": [
    "serviceAccount:n-cmek-usea4-1234567890@netapp-cmek-prod.iam.gserviceaccount.com"
       ],
       "sources": [
         {
          "resource": "projects/112233445566"
         }
       ]
   },
   "ingressTo": {
     "operations": [
       {
         "methodSelectors": [
           {
             "method": "*"
           }
       ],
       "serviceName": "cloudkms.googleapis.com"
       }
       ],
       "resources": [
         "projects/1234567890"
       ]
   },
   "title": "CMEK for NetApp Volumes"
   }

Perbarui kolom berikut dalam template:

  • ingressFrom.identities: masukkan daftar akun layanan yang dipisahkan koma yang digunakan oleh NetApp Volumes. Layanan ini menggunakan akun layanan unik untuk setiap project dan lokasi dalam format berikut:

    serviceAccount:n-cmek-location-short-name-your-project-number@netapp-cmek-prod.iam.gserviceaccount.com

    dengan location-short-name adalah bentuk singkat dari region, misalnya, usea4 untuk us-east4, dan your-project-number adalah nomor project.

    Anda dapat mengkueri nama akun layanan ini menggunakan perintah berikut:

    gcloud netapp kms-configs describe NAME --location LOCATION --format="value(serviceAccount)"

    Ganti informasi berikut:

    • NAME: nama kebijakan CMEK.
    • LOCATION: region kebijakan CMEK.

    Contoh dalam template menunjukkan nama akun layanan untuk project Google 1234567890 di region us-east4.

  • ingressTo.resources: masukkan nomor project dari project yang berisi volume. Contoh dalam template menggunakan projects/1234567890.

  • ingressFrom.sources: masukkan daftar project backend yang dipisahkan koma yang digunakan oleh layanan. Anda harus menambahkan satu entri untuk setiap region Google tempat Anda perlu menghosting volume CMEK. Untuk mendapatkan nomor project backend untuk region Anda, hubungi Layanan Pelanggan Google Cloud. Dalam template, projects/112233445566 adalah placeholder yang harus Anda ganti dengan nomor project backend untuk region Anda.

Anda tidak dapat menentukan metode individual untuk layanan cloudkms.googleapis.com; Anda harus menggunakan * untuk mengizinkan semua metode.

Langkah berikutnya

Mengelola kebijakan CMEK.