建立及取得 CMEK 金鑰
如果您使用客戶自行管理的加密金鑰 (CMEK) 來加密 Assured Workloads 資源,請參閱本頁面瞭解如何建立及取得這些金鑰。進一步瞭解 Assured Workloads 加密選項。
事前準備
選擇加密策略。
建立 Assured Workloads 資料夾,以便使用支援您需求的控制項套件。
選取含有 Assured Workloads CMEK 金鑰的專案 ID。如果您選擇 IL4 或 CJIS 做為控制套件,系統會依預設為您建立這個專案。
建立金鑰
如要建立 CMEK 金鑰,請按照下列步驟操作:
在 Google Cloud 控制台中,前往「Key management」頁面:
選取 Assured Workloads CMEK 專案。根據預設,這個專案 ID 會以
cmek-開頭。按一下金鑰環。
按一下 [Create Key] (建立金鑰)。
在「您要建立哪種類型的金鑰?」清單中,選取「產生的金鑰」。
在「Key name」 中輸入金鑰名稱。
在「防護等級」清單中,選取「軟體」。
在「Purpose」清單中,選取「Symmetric encryption/decryption」。
在「輪替週期」清單中,選取「90 天」。
選用:如要新增標籤,請按照下列步驟操作:
- 按一下「新增標籤」。
- 在「Key」文字欄位中輸入金鑰。
- 在「值」文字欄位中輸入值。
按一下 [Create]。
取得 CMEK 金鑰資源 ID
- 在 Google Cloud 控制台的「專案選取器」中,選取含有 CMEK 金鑰的專案專案 ID。根據預設,如果 Assured Workloads 建立這個專案,就會在前面加上專案 ID
cmek-。 在「安全性」中,前往「金鑰管理」頁面:
在「金鑰環」下方,按一下金鑰環名稱。
在「金鑰環詳細資料」的「金鑰」分頁中,按一下金鑰名稱。
按一下鍵名右側的 more_vert「更多」圖示。
按一下「複製資源名稱」。
資源字串的格式如下:
projects/SECURITY_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_NAME/cryptoKeys/KEY_NAME
後續步驟
- 瞭解如何遵循金鑰管理的法規要求。
- 瞭解資料加密與加密金鑰。