Verificar acesso à chave

Nesta página, você encontra instruções sobre como verificar o acesso à chave depois de criar uma política de chave de criptografia gerenciada pelo cliente (CMEK).

Principais casos de uso de verificação de acesso

A qualquer momento, você pode executar novamente a verificação de acesso à chave para identificar problemas com ela:

  • Desativação da chave: se uma chave for desativada, o acesso aos dados nos volumes será interrompido.

  • Destruição de chaves: se uma chave for destruída, o acesso aos dados não poderá ser restaurado. É possível excluir volumes para liberar capacidade. Para mais informações, consulte Excluir um volume.

  • Permissões ausentes: se as permissões forem removidas, as instruções para concedê-las vão aparecer. Consulte Conceder permissão de serviço para ler uma chave.

Conceder permissão ao serviço para ler uma chave

Para usar uma chave CMEK, primeiro conceda ao serviço permissão para ler a chave especificada. O NetApp Volumes fornece os comandos corretos da Google Cloud CLI. Para conceder ao serviço as permissões necessárias da chave do Cloud KMS, crie uma função personalizada em todo o projeto com as permissões adequadas e uma vinculação de papel de chave que vincule a função personalizada à conta de serviço apropriada. Você precisa das permissões de administrador de papéis (roles/iam.RoleAdmin) no projeto da sua Conta do Google para criar a função personalizada e as permissões de administrador do Cloud KMS (roles/cloudkms.admin) para conceder acesso do NetApp Volumes à chave.

Use as instruções a seguir para conceder à conta de serviço permissão para ler uma chave usando o console Google Cloud ou a Google Cloud CLI.

Console

  1. Acesse a página do NetApp Volumes no console do Google Cloud .

    Acessar o NetApp Volumes

  2. Selecione Políticas de CMEK.

  3. Encontre a política de CMEK que você quer editar e clique no menu Mostrar mais.

  4. Selecione Verificar acesso à chave.

  5. Se você ainda não tiver configurado o acesso à chave, a verificação vai falhar, e a UI vai mostrar instruções sobre como conceder acesso. Depois de executar os comandos necessários da Google Cloud CLI, clique em Tentar novamente para executar a verificação de chave outra vez.

    Se a verificação for bem-sucedida, uma caixa de diálogo vai aparecer indicando isso. Se a verificação não for bem-sucedida, clique em Tentar de novo para executar a verificação da chave novamente.

gcloud

Execute o seguinte comando kms-configs verify:

 gcloud netapp kms-configs verify CONFIG_NAME \
   --project=PROJECT_ID \
   --location=LOCATION

Substitua as seguintes informações:

  • CONFIG_NAME: o nome da configuração.

  • PROJECT_ID: o ID exclusivo do projeto ao qual você quer conceder acesso.

  • LOCATION: a região da configuração.

Se a verificação de chave for bem-sucedida, o comando vai gerar a seguinte mensagem:

healthy: true

Se a verificação da chave falhar, conceda permissões de acesso a ela. Execute o comando a seguir para identificar os comandos da Google Cloud CLI que concedem acesso à chave de serviço. Você precisa da função cloudkms.admin para executar o seguinte comando.

  gcloud netapp kms-configs describe CONFIG_NAME \
   --project=PROJECT_ID \
   --location=LOCATION \
   --format="value(instructions)"

Para mais informações sobre outras flags opcionais, consulte a documentação do SDK Google Cloud para o Cloud Key Management Service.

Para mais informações, consulte a documentação do usuário do Cloud Key Management Service.

Configurar a regra de entrada do VPC Service Controls para a CMEK

Se você usa o VPC Service Controls, atualize as regras de entrada para permitir o tráfego do projeto, da região e da conta de serviço relevantes.

Use o modelo a seguir para configurar as permissões necessárias.

   {
    "ingressFrom": {
      "identities": [
    "serviceAccount:n-cmek-usea4-1234567890@netapp-cmek-prod.iam.gserviceaccount.com"
       ],
       "sources": [
         {
          "resource": "projects/112233445566"
         }
       ]
   },
   "ingressTo": {
     "operations": [
       {
         "methodSelectors": [
           {
             "method": "*"
           }
       ],
       "serviceName": "cloudkms.googleapis.com"
       }
       ],
       "resources": [
         "projects/1234567890"
       ]
   },
   "title": "CMEK for NetApp Volumes"
   }

Atualize os seguintes campos no modelo:

  • ingressFrom.identities: insira uma lista separada por vírgulas das contas de serviço usadas pelos NetApp Volumes. O serviço usa uma conta de serviço exclusiva para cada projeto e local no seguinte formato:

    serviceAccount:n-cmek-location-short-name-your-project-number@netapp-cmek-prod.iam.gserviceaccount.com

    em que location-short-name é a forma abreviada da região, por exemplo, usea4 para us-east4, e your-project-number é o número do projeto.

    É possível consultar o nome da conta de serviço usando o seguinte comando:

    gcloud netapp kms-configs describe NAME --location LOCATION --format="value(serviceAccount)"

    Substitua as seguintes informações:

    • NAME: o nome da política de CMEK.
    • LOCATION: a região da política de CMEK.

    O exemplo no modelo mostra o nome da conta de serviço do projeto do Google 1234567890 na região us-east4.

  • ingressTo.resources: insira o número do projeto que contém os volumes. O exemplo no modelo usa projects/1234567890.

  • ingressFrom.sources: insira uma lista separada por vírgulas dos projetos de back-end usados pelo serviço. Adicione uma entrada para cada região do Google em que você precisa hospedar volumes de CMEK. Para receber o número do projeto de back-end da sua região, entre em contato com o atendimento ao cliente do Google Cloud. No modelo, projects/112233445566 é um marcador de posição que você precisa substituir pelo número do projeto de back-end da sua região.

Não é possível especificar métodos individuais para o serviço cloudkms.googleapis.com. Use * para permitir todos os métodos.

A seguir

Gerenciar políticas de CMEK.