创建 Persistent Disk 工作负载

本指南介绍如何使用 Google Cloud Console 在 Assured Workloads 环境中设置加密密钥，然后使用这些密钥保护永久性磁盘。如需详细了解 Assured Workloads，请参阅 Assured Workloads 概览。

准备工作

1. 您必须是项目所有者、组织管理员或对项目拥有安全访问权限。对于首次使用的用户，请参阅 Assured Workloads 使用入门。

2. 选择加密策略。

3. 在 Assured Workloads 环境中创建一个支持您的合规性制度的文件夹，如下所示：

   • 在工作负载环境中创建新文件夹（IL4、CJIS）
   • 在工作负载环境中创建新文件夹（FedRAMP、美国区域和支持）

4. 选择包含 Assured Workloads CMEK 密钥的项目的 ID。如果您选择 IL4 或 CJIS 作为合规性制度，则在默认情况下，系统会为您创建此项目。

创建密钥

如需创建 CMEK 密钥，请执行以下操作：

1. 在 Google Cloud Console 中，转到“加密密钥”：

   转到“加密密钥”

2. 选择 Assured Workloads CMEK 项目。默认情况下，此项目 ID 以 cmek- 开头。

3. 点击您的密钥环。

4. 点击创建密钥。

5. 在“您要创建哪种类型的密钥？”下拉列表中，选择生成的密钥。

6. 在密钥名称中输入密钥名称。

7. 在保护级别下拉列表中，选择软件。

8. 在用途下拉列表中，选择对称加密/解密。

9. 在轮替周期下拉列表中，选择 90 天。

10. 可选：要添加标签，请执行以下操作：

    1. 点击添加标签。
    2. 在密钥文本字段中输入一个密钥。
    3. 在值文本字段中输入一个值。

11. 点击创建。

您会看到该密钥已创建。

获取 CMEK 密钥资源 ID

1. 在 Google Cloud 控制台的项目选择器中，选择包含您的 CMEK 密钥的项目的项目 ID。默认情况下，如果 Assured Workloads 创建此项目，则会在项目 ID 前面加上 cmek-。

2. 在安全性中，转到加密密钥：

   转到“加密密钥”

3. 在密钥环下，点击密钥环名称。

4. 在密钥环详细信息的密钥标签页中，点击密钥的名称。

5. 点击密钥名称右侧的 more_vert 更多图标。

6. 点击复制资源名称。

   资源字符串格式设置如下：

    projects/SECURITY_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_NAME/cryptoKeys/KEY_NAME
   

使用 CMEK 资源 ID 加密 Persistent Disk

1. 转到虚拟机实例。

   转到虚拟机实例

2. 在项目选择器中，选择要在其中创建 Persistent Disk 资源的 Assured Workloads 资源项目。

3. 选中相应复选框，然后点击您要添加磁盘的实例的名称。

4. 在虚拟机实例详细信息中，点击修改。

5. 在额外磁盘下，点击添加新磁盘。

6. 指定磁盘名称，配置磁盘属性，然后选择空白作为来源类型。

7. 在加密下，点击客户管理的加密密钥 (CMEK)。

   1. 如果您没有看到密钥，请选择没有看到您的密钥？输入密钥资源 ID。此时系统将显示“输入密钥资源 ID”对话框。
   2. 按照本指南前面获取 CMEK 密钥资源 ID 中的说明操作。
   3. 将密钥粘贴到密钥资源 ID 字段中。
   4. 点击授权。
   5. 点击完成完成磁盘的配置。

8. 如果您在设置 Assured Workloads 时未创建 CMEK 项目，请执行以下操作：

   1. 选择 Google 管理的加密密钥。
   2. 点击完成。

9. 点击保存以将更改应用于实例并添加新磁盘。

后续步骤

• 了解如何删除工作负载环境。