创建和获取 CMEK 密钥

如果您使用客户管理的加密密钥 (CMEK) 来加密 Assured Workloads 资源,则本页面介绍了如何创建和获取这些密钥。详细了解 Assured Workloads 加密选项

准备工作

  1. 您必须是项目所有者、组织管理员或对项目拥有安全访问权限。对于首次使用的用户,请参阅 Assured Workloads 使用入门

  2. 选择合规性制度和加密策略。

  3. 为 Assured Workloads 环境创建一个文件夹

  4. 在 Assured Workloads 环境中创建一个支持您的合规性制度的文件夹,如下所示:

  5. 选择包含 Assured Workloads CMEK 密钥的项目的 ID。如果您选择 IL4(预览版)或 CJIS 作为合规性制度,则默认情况下,此项目以 cmek- 开头。

创建密钥

如需创建 CMEK 密钥,请执行以下操作:

  1. 在 Google Cloud Console 中,转到“加密密钥”:

    转到“加密密钥”

  2. 选择 Assured Workloads CMEK 项目。默认情况下,此项目 ID 以 cmek- 开头。

  3. 点击您的密钥环。

  4. 点击创建密钥

  5. “您要创建哪种类型的密钥?”下拉列表中,选择生成的密钥

  6. 密钥名称中输入密钥名称。

  7. 保护级别下拉列表中,选择软件

  8. 用途下拉列表中,选择对称加密/解密

  9. 轮替周期下拉列表中,选择 90 天

  10. 可选:要添加标签,请执行以下操作:

    1. 点击添加标签
    2. 密钥文本字段中输入一个密钥。
    3. 文本字段中输入一个值。
  11. 点击创建

您会看到该密钥已创建。

获取 CMEK 密钥资源 ID

  1. 在 Google Cloud Console 的项目选择器中,选择包含 CMEK 密钥的项目的 ID。默认情况下,如果 Assured Workloads 创建此项目,则会在项目 ID 前面加上 cmek-
  2. 安全性中,转到加密密钥

    转到“加密密钥”

  3. 密钥环下,点击密钥环名称。

  4. 密钥环详细信息密钥标签页中,点击密钥的名称。

  5. 点击密钥名称右侧的 更多图标。

  6. 点击复制资源名称

    资源字符串格式设置如下:

     projects/SECURITY_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_NAME/cryptoKeys/KEY_NAME
    

后续步骤