本指南介绍如何使用 Google Cloud Console 在 Assured Workloads 环境中设置加密密钥,然后使用这些密钥保护 Persistent Disk。如需详细了解 Assured Workloads,请参阅 Assured Workloads 概览。
准备工作
您必须是项目所有者、组织管理员或对项目拥有安全访问权限。对于首次使用的用户,请参阅 Assured Workloads 使用入门。
选择合规性制度和加密策略。
在 Assured Workloads 环境中创建一个支持您的合规性制度的文件夹,如下所示:
选择包含 Assured Workloads CMEK 密钥的项目的 ID。如果您选择 IL4(预览版)或 CJIS 作为合规性制度,则默认情况下,此项目以
cmek-开头。
创建密钥
如需创建 CMEK 密钥,请执行以下操作:
在 Google Cloud Console 中,转到“加密密钥”:
选择 Assured Workloads CMEK 项目。默认情况下,此项目 ID 以
cmek-开头。点击您的密钥环。
点击创建密钥。
在“您要创建哪种类型的密钥?”下拉列表中,选择生成的密钥。
在密钥名称中输入密钥名称。
在保护级别下拉列表中,选择软件。
在用途下拉列表中,选择对称加密/解密。
在轮替周期下拉列表中,选择 90 天。
可选:要添加标签,请执行以下操作:
- 点击添加标签。
- 在密钥文本字段中输入一个密钥。
- 在值文本字段中输入一个值。
点击创建。
您会看到该密钥已创建。
获取 CMEK 密钥资源 ID
- 在 Google Cloud Console 的项目选择器中,选择包含 CMEK 密钥的项目的 ID。默认情况下,如果 Assured Workloads 创建此项目,则会在项目 ID 前面加上
cmek-。 在安全性中,转到加密密钥:
在密钥环下,点击密钥环名称。
在密钥环详细信息的密钥标签页中,点击密钥的名称。
点击密钥名称右侧的 more_vert 更多图标。
点击复制资源名称。
资源字符串格式设置如下:
projects/SECURITY_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_NAME/cryptoKeys/KEY_NAME
使用 CMEK 资源 ID 加密 Persistent Disk
转到虚拟机实例。
在项目选择器中,选择要在其中创建 Persistent Disk 资源的 Assured Workloads 资源项目。
选中相应复选框,然后点击您要添加磁盘的实例的名称。
在虚拟机实例详细信息中,点击修改。
在额外磁盘下,点击添加新磁盘。
指定磁盘名称,配置磁盘属性,然后选择空白作为来源类型。
在加密下,点击客户管理的加密密钥 (CMEK)。
- 如果您没有看到密钥,请选择没有看到您的密钥?输入密钥资源 ID。此时系统将显示“输入密钥资源 ID”对话框。
- 按照本指南前面获取 CMEK 密钥资源 ID 中的说明操作。
- 将密钥粘贴到密钥资源 ID 字段中。
- 点击授权。
- 点击完成完成磁盘的配置。
如果您在设置 Assured Workloads 时未创建 CMEK 项目,请执行以下操作:
- 选择 Google 管理的加密密钥。
- 点击完成。
点击保存以将更改应用于实例并添加新磁盘。
后续步骤
- 了解如何删除工作负载环境。