使用集合让一切井井有条 根据您的偏好保存内容并对其进行分类。

创建 Cloud Storage 工作负载

本指南介绍如何使用 Google Cloud Console 在 Assured Workloads 环境中设置加密密钥,然后使用这些密钥保护 Cloud Storage 存储分区。如需详细了解 Assured Workloads,请参阅 Assured Workloads 概览

准备工作

  1. 您必须是项目所有者、组织管理员或对项目拥有安全访问权限。对于首次使用的用户,请参阅 Assured Workloads 使用入门

  2. 选择加密策略。

  3. 在 Assured Workloads 环境中创建一个支持您的合规性制度的文件夹,如下所示:

  4. 选择包含 Assured Workloads CMEK 密钥的项目的 ID。如果您选择 IL4 或 CJIS 作为合规性制度,则在默认情况下,系统会为您创建此项目。

创建密钥

如需创建 CMEK 密钥,请执行以下操作:

  1. 在 Google Cloud Console 中,转到“加密密钥”:

    转到“加密密钥”

  2. 选择 Assured Workloads CMEK 项目。默认情况下,此项目 ID 以 cmek- 开头。

  3. 点击您的密钥环。

  4. 点击创建密钥

  5. “您要创建哪种类型的密钥?”下拉列表中,选择生成的密钥

  6. 密钥名称中输入密钥名称。

  7. 保护级别下拉列表中,选择软件

  8. 用途下拉列表中,选择对称加密/解密

  9. 轮替周期下拉列表中,选择 90 天

  10. 可选:要添加标签,请执行以下操作:

    1. 点击添加标签
    2. 密钥文本字段中输入一个密钥。
    3. 文本字段中输入一个值。
  11. 点击创建

您会看到该密钥已创建。

获取 CMEK 密钥资源 ID

  1. 在 Google Cloud 控制台的项目选择器中,选择包含您的 CMEK 密钥的项目的项目 ID。默认情况下,如果 Assured Workloads 创建此项目,则会在项目 ID 前面加上 cmek-
  2. 安全性中,转到加密密钥

    转到“加密密钥”

  3. 密钥环下,点击密钥环名称。

  4. 密钥环详细信息密钥标签页中,点击密钥的名称。

  5. 点击密钥名称右侧的 更多图标。

  6. 点击复制资源名称

    资源字符串格式设置如下:

     projects/SECURITY_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_NAME/cryptoKeys/KEY_NAME
    

使用 CMEK 资源 ID 加密 Cloud Storage

  1. 转到 Cloud Storage。

    转到 Cloud Storage

  2. 项目选择器中,选择要在其中创建 Cloud Storage 资源的 Assured Workloads 资源项目。

  3. 浏览器中,点击创建存储桶

  4. 为存储桶命名中,输入存储桶的名称。

  5. 选择数据的存储位置中,选择您的区域。

  6. 选择默认存储类别中,选择最符合您需求的选项。

  7. 选择如何控制对象的访问权限中,选择最符合您需求的选项。

  8. 高级设置中,如果您在设置 Assured Workloads 时选择了创建 CMEK 项目,请执行以下操作:

    1. 选择客户管理的加密密钥 (CMEK)
    2. 客户管理的加密密钥下拉列表中,选择您的 CMEK 密钥。
    3. 如果您没有看到密钥,请选择没有看到您的密钥?输入密钥资源 ID。此时系统将显示输入密钥资源 ID 对话框。
    4. 按照本指南前面获取 CMEK 密钥资源 ID 中的说明操作。
    5. 将密钥粘贴到密钥资源 ID 字段中。
    6. 点击授权
    7. 点击创建
  9. 如果您在设置 Assured Workloads 时未创建 CMEK 项目,请选择 Google 管理的加密密钥

  10. 点击创建

后续步骤