Questa pagina fornisce istruzioni su come verificare l'accesso alle chiavi dopo aver creato una policy della chiave di crittografia gestita dal cliente (CMEK).
Casi d'uso per la verifica dell'accesso alle chiavi
In qualsiasi momento, puoi eseguire di nuovo la verifica dell'accesso alle chiavi per identificare i problemi con la chiave:
Disattivazione della chiave: se una chiave viene disattivata, l'accesso ai dati dei volumi si interrompe.
Distruzione della chiave: se una chiave viene distrutta, l'accesso ai dati non è ripristinabile. Puoi eliminare i volumi per liberare capacità. Per saperne di più, consulta Eliminare un volume.
Autorizzazioni mancanti: se le autorizzazioni vengono rimosse, vengono visualizzate le istruzioni per concederle. Consulta Concedere al servizio l'autorizzazione a leggere una chiave.
Concedere al servizio l'autorizzazione a leggere una chiave
Per utilizzare una chiave CMEK, devi prima concedere al servizio l'autorizzazione a leggere la chiave specificata. NetApp Volumes fornisce i comandi Google Cloud CLI corretti. Per concedere al servizio le autorizzazioni della chiave Cloud KMS richieste, devi creare un ruolo personalizzato a livello di progetto con le autorizzazioni appropriate e poi un'associazione di ruoli chiave che associa il ruolo personalizzato al account di servizio appropriato. Per creare il ruolo personalizzato e le autorizzazioni di amministratore Cloud KMS (roles/cloudkms.admin) per concedere a NetApp Volumes l'accesso alla chiave, devi disporre delle autorizzazioni di amministratore dei ruoli (roles/iam.RoleAdmin) per il progetto all'interno del tuo Account Google.
Utilizza le seguenti istruzioni per concedere al servizio l'autorizzazione a leggere una chiave utilizzando la Google Cloud console o Google Cloud CLI.
Console
Vai alla pagina NetApp Volumes nella Google Cloud console.
Seleziona Policy CMEK.
Trova la policy CMEK che vuoi modificare e fai clic sul menu Mostra altro.
Seleziona Verifica accesso chiave.
Se non hai ancora configurato l'accesso alle chiavi, la verifica non riesce e l'interfaccia utente mostra le istruzioni su come concedere l'accesso alle chiavi. Dopo aver eseguito i comandi Google Cloud CLI richiesti, fai clic su Riprova per eseguire di nuovo la verifica delle chiavi.
Se la verifica ha esito positivo, viene visualizzata una finestra di dialogo che indica che la verifica è riuscita. Se la verifica non riesce, fai clic su Riprova per eseguire di nuovo il controllo delle chiavi.
gcloud
Esegui il seguente comando kms-configs verify:
gcloud netapp kms-configs verify CONFIG_NAME \ --project=PROJECT_ID \ --location=LOCATION
Sostituisci le seguenti informazioni:
CONFIG_NAME: il nome della configurazione.PROJECT_ID: l'ID progetto univoco per cui vuoi concedere l'accesso.LOCATION: la regione della configurazione.
Se la verifica delle chiavi ha esito positivo, il comando restituisce il seguente messaggio:
healthy: true
Se la verifica delle chiavi non riesce, devi concedere le autorizzazioni di accesso alla chiave.
Esegui il seguente comando per identificare i comandi Google Cloud CLI per concedere l'accesso alla chiave di servizio. Per eseguire il seguente comando, devi disporre del ruolo cloudkms.admin.
gcloud netapp kms-configs describe CONFIG_NAME \ --project=PROJECT_ID \ --location=LOCATION \ --format="value(instructions)"
Per saperne di più su altri flag facoltativi, consulta la documentazione di Google Cloud SDK per Cloud Key Management Service.
Per saperne di più, consulta la documentazione utente di Cloud Key Management Service.
Configurare la regola di ingresso dei Controlli di servizio VPC per CMEK
Se utilizzi Controlli di servizio VPC, devi aggiornare le regole di ingresso per consentire il traffico per il progetto, la regione e account di servizio pertinenti.
Progetti nello stesso perimetro
Utilizza il seguente modello per configurare le autorizzazioni necessarie. Questo esempio presuppone che il progetto KMS e il progetto proprietario dei volumi si trovino nello stesso perimetro. Se si trovano in perimetri diversi, consulta i requisiti aggiuntivi in Progetti in perimetri diversi.
{
"ingressFrom": {
"identities": [
"serviceAccount:n-cmek-usea4-1234567890@netapp-cmek-prod.iam.gserviceaccount.com"
],
"sources": [
{
"resource": "projects/112233445566"
}
]
},
"ingressTo": {
"operations": [
{
"methodSelectors": [
{
"method": "*"
}
],
"serviceName": "cloudkms.googleapis.com"
}
],
"resources": [
"projects/1234567890"
]
},
"title": "CMEK for NetApp Volumes"
}
Aggiorna i seguenti campi nel modello:
ingressFrom.identities: inserisci un elenco separato da virgole dei service account utilizzati da NetApp Volumes. Il servizio utilizza un account di servizio univoco per ogni progetto e località nel seguente formato:
serviceAccount:n-cmek-location-short-name-your-project-number@netapp-cmek-prod.iam.gserviceaccount.comdove
location-short-nameè la forma abbreviata della regione, ad esempiousea4perus-east4, eyour-project-numberè il numero di progetto.Puoi eseguire una query su questo nome del account di servizio utilizzando il seguente comando:
gcloud netapp kms-configs describe NAME --location LOCATION --format="value(serviceAccount)"
Sostituisci le seguenti informazioni:
NAME: il nome della policy CMEK.LOCATION: la regione della policy CMEK.
L'esempio nel modello mostra il nome account di servizio per il progetto Google
1234567890nella regioneus-east4.ingressTo.resources: inserisci il numero di progetto del progetto che contiene la chiave
KMS. L'esempio nel modello utilizzaprojects/1234567890.ingressFrom.sources: inserisci un elenco separato da virgole dei progetti di backend utilizzati dal servizio. Devi aggiungere una voce per ogni regione Google in cui devi ospitare i volumi CMEK. Per ottenere il numero di progetto di backend per la tua regione, contatta l'assistenza clienti di Google Cloud. Nel modello,
projects/112233445566è un segnaposto che devi sostituire con il numero di progetto di backend per la tua regione.
Non puoi specificare singoli metodi per il servizio cloudkms.googleapis.com; devi utilizzare * per consentire tutti i metodi.
Progetti in perimetri diversi
Se il progetto KMS e il progetto NetApp Volumes si trovano in perimetri diversi o se solo uno dei progetti si trova in un perimetro, devi configurare ulteriori Controlli di servizio VPC per consentire la comunicazione tra i progetti di backend di NetApp Volume, il progetto NetApp Volumes e il progetto KMS nei limiti del perimetro di servizio.
Per configurare ulteriori Controlli di servizio VPC:
Copia il modello di ingresso precedente.
Aggiungi il numero di progetto proprietario di NetApp Volumes all'elenco
ingressFrom.sources.Applica la policy di ingresso al perimetro che contiene il progetto KMS.
Applica una policy di uscita al perimetro che contiene il progetto NetApp Volumes. Utilizza il seguente modello per applicare una policy di uscita:
{ "egressFrom": { "identities": [ "serviceAccount:n-cmek-usea4-1234567890@netapp-cmek-prod.iam.gserviceaccount.com" ], "sources": [ { "resource": "projects/33445566" } ] }, "egressTo": { "operations": [ { "methodSelectors": [ { "method": "*" } ], "serviceName": "cloudkms.googleapis.com" } ], "resources": [ "projects/1234567890" ] }, "title": "CMEK for NetApp Volumes" }Aggiorna i seguenti campi nel modello:
egressFrom.identities: utilizza gli stessi service account utilizzati per
ingressFrom.identities.egressFrom.sources: il numero di progetto del progetto proprietario di NetApp Volumes. L'esempio nel modello utilizza
projects/33445566.egressTo.resources: inserisci il numero di progetto del progetto che contiene la chiave
KMS. L'esempio nel modello utilizzaprojects/1234567890.