Questa pagina fornisce istruzioni su come verificare l'accesso alla chiave dopo aver creato una policy di chiavi di crittografia gestite dal cliente (CMEK).
Casi d'uso per la verifica dell'accesso alla chiave
In qualsiasi momento, puoi eseguire nuovamente la verifica dell'accesso alla chiave per identificare problemi con la chiave:
Disattivazione della chiave: se una chiave viene disattivata, l'accesso ai dati dei volumi viene interrotto.
Distruzione delle chiavi: se una chiave viene distrutta, l'accesso ai dati non è ripristinabile. Puoi eliminare i volumi per liberare capacità. Per saperne di più, consulta la sezione Eliminare un volume.
Autorizzazioni mancanti: se le autorizzazioni vengono rimosse, vengono visualizzate le istruzioni per concederle. Vedi Concedere al servizio l'autorizzazione a leggere una chiave.
Concedi al servizio l'autorizzazione a leggere una chiave
Per utilizzare una chiave CMEK, devi prima concedere al servizio l'autorizzazione a leggere la chiave specificata. NetApp Volumes fornisce i comandi
Google Cloud CLI corretti. Per concedere al servizio le autorizzazioni richieste per la chiave Cloud KMS, devi creare un ruolo personalizzato a livello di progetto con le autorizzazioni appropriate e poi un binding del ruolo della chiave che associa il ruolo personalizzato al account di servizio appropriato. Per creare il ruolo personalizzato e concedere a NetApp Volumes l'accesso alla chiave, devi disporre delle autorizzazioni Amministratore ruoli (roles/iam.RoleAdmin) per il progetto all'interno del tuo Account Google e delle autorizzazioni Amministratore Cloud KMS (roles/cloudkms.admin).
Segui queste istruzioni per concedere al servizio l'autorizzazione a leggere una chiave utilizzando la console Google Cloud o Google Cloud CLI.
Console
Vai alla pagina NetApp Volumes nella console Google Cloud .
Seleziona Policy CMEK.
Trova la policy CMEK che vuoi modificare e fai clic sul menu Mostra altro.
Seleziona Verifica accesso chiave.
Se non hai ancora configurato l'accesso alle chiavi, la verifica non va a buon fine e l'interfaccia utente mostra le istruzioni su come concedere l'accesso alle chiavi. Dopo aver eseguito i comandi Google Cloud CLI richiesti, fai clic su Riprova per eseguire di nuovo la verifica della chiave.
Se la verifica ha esito positivo, viene visualizzata una finestra di dialogo che indica che la verifica è riuscita. Se la verifica non va a buon fine, fai clic su Riprova per eseguire di nuovo il controllo della chiave.
gcloud
Esegui questo comando kms-configs verify:
gcloud netapp kms-configs verify CONFIG_NAME \ --project=PROJECT_ID \ --location=LOCATION
Sostituisci le seguenti informazioni:
CONFIG_NAME: il nome della configurazione.PROJECT_ID: l'ID progetto univoco per cui vuoi concedere l'accesso.LOCATION: la regione della configurazione.
Se la verifica della chiave ha esito positivo, il comando restituisce il seguente messaggio:
healthy: true
Se la verifica della chiave non va a buon fine, devi concedere le autorizzazioni di accesso alla chiave.
Esegui il seguente comando per identificare i comandi Google Cloud CLI per concedere l'accesso alla chiave di servizio. Per eseguire il seguente comando, devi disporre del ruolo cloudkms.admin.
gcloud netapp kms-configs describe CONFIG_NAME \ --project=PROJECT_ID \ --location=LOCATION \ --format="value(instructions)"
Per ulteriori informazioni sui flag facoltativi aggiuntivi, consulta la documentazione di Google Cloud SDK per Cloud Key Management Service.
Per saperne di più, consulta la documentazione utente di Cloud Key Management Service.
Configura la regola di traffico in entrata dei Controlli di servizio VPC per CMEK
Se utilizzi i controlli di servizio VPC, devi aggiornare le regole in entrata per consentire il traffico per il progetto, la regione eaccount di serviziot pertinenti.
Utilizza il seguente modello per configurare le autorizzazioni necessarie.
{
"ingressFrom": {
"identities": [
"serviceAccount:n-cmek-usea4-1234567890@netapp-cmek-prod.iam.gserviceaccount.com"
],
"sources": [
{
"resource": "projects/112233445566"
}
]
},
"ingressTo": {
"operations": [
{
"methodSelectors": [
{
"method": "*"
}
],
"serviceName": "cloudkms.googleapis.com"
}
],
"resources": [
"projects/1234567890"
]
},
"title": "CMEK for NetApp Volumes"
}
Aggiorna i seguenti campi nel modello:
ingressFrom.identities: inserisci un elenco separato da virgole degli account di servizio utilizzati da NetApp Volumes. Il servizio utilizza un account di servizio unico per ogni progetto e località nel seguente formato:
serviceAccount:n-cmek-location-short-name-your-project-number@netapp-cmek-prod.iam.gserviceaccount.comdove
location-short-nameè la forma abbreviata della regione, ad esempiousea4perus-east4eyour-project-numberè il numero del progetto.Puoi eseguire una query su questo nome del account di servizio utilizzando il seguente comando:
gcloud netapp kms-configs describe NAME --location LOCATION --format="value(serviceAccount)"
Sostituisci le seguenti informazioni:
NAME: il nome della policy CMEK.LOCATION: la regione della policy CMEK.
L'esempio nel modello mostra il nome del account di servizio per il progetto Google
1234567890nella regioneus-east4.ingressTo.resources: inserisci il numero di progetto del progetto che contiene i volumi. L'esempio nel modello utilizza
projects/1234567890.ingressFrom.sources: inserisci un elenco separato da virgole dei progetti di backend utilizzati dal servizio. Devi aggiungere una voce per ogni regione Google in cui devi ospitare i volumi CMEK. Per ottenere il numero di progetto di backend per la tua regione, contatta l'assistenza clienti Google Cloud. Nel template,
projects/112233445566è un segnaposto che devi sostituire con il numero di progetto di backend per la tua regione.
Non puoi specificare singoli metodi per il servizio cloudkms.googleapis.com;
devi utilizzare * per consentire tutti i metodi.