本頁說明如何使用客戶自行管理的加密金鑰 (CMEK) 管理 Google Cloud NetApp Volumes。
關於 CMEK
NetApp Volumes 一律會使用磁碟區專屬金鑰加密資料。NetApp Volumes 一律會加密靜態資料。
使用 CMEK 時,Cloud Key Management Service 會包裝您儲存的磁碟區金鑰。這項功能可讓您進一步控管使用的加密金鑰,並將金鑰儲存在與資料不同的系統或位置,提升安全性。NetApp Volumes 支援 Cloud Key Management Service 功能,例如硬體安全模組,以及產生、使用、輪替和銷毀等完整金鑰管理生命週期。
每個區域的 NetApp Volumes 支援一項 CMEK 政策。CMEK 政策會附加至儲存空間集區,且該集區中建立的所有磁碟區都會使用這項政策。您可以在一個區域中,同時擁有具備和不具備 CMEK 政策的儲存空間集區。如果特定區域中有不含 CMEK 的集區,您可以使用區域 CMEK 政策的遷移作業,將這些集區轉換為 CMEK。
您可以選擇是否使用 CMEK。如果使用 CMEK 政策,這些政策會專屬於特定區域。每個區域只能設定一項政策。
注意事項
請參閱下列各節,瞭解 CMEK 的限制。
金鑰管理
如果使用 CMEK,您必須全權負責管理金鑰和資料。
Cloud KMS 設定
CMEK 使用對稱金鑰進行加密和解密。刪除專案中某個地區的所有磁碟區後,Cloud KMS 設定會返回 Ready 建立狀態。在該區域中建立下一個磁碟區時,系統會再次使用這個可用區。
區域金鑰環
NetApp Volumes 只支援區域 KMS 金鑰環,且必須與 CMEK 政策位於相同區域。
服務水準
CMEK 支援 Flex、Standard、Premium 和 Extreme 服務等級的儲存空間集區。
VPC Service Controls
使用 VPC Service Controls 時,請務必考量 VPC Service Controls 對 NetApp Volumes 的限制。
CMEK 組織政策
NetApp Volumes 的 CMEK 機構政策可讓機構控管資料加密金鑰,並限制哪些金鑰可用於 CMEK。具體做法是強制使用 CMEK 加密新儲存集區中的靜態資料,並允許機構使用 Cloud KMS 管理加密金鑰。系統會在建立儲存空間集區時強制執行機構政策,且不會影響現有的儲存空間集區。
機構政策可讓管理員在所有專案和資源中,套用並強制執行一致的限制。對於管理多個專案和資源的機構而言,這項功能有助於強制執行標準化政策。
您可以對 CMEK 套用兩種機構政策限制:
限制非 CMEK 服務:可指定機構、專案或資料夾中的哪些服務可設定為不使用 CMEK。如果將服務新增至拒絕清單,或從允許清單中排除服務,則該服務的資源必須使用 CMEK。根據預設,這項限制允許建立非 CMEK 資源。
限制 CMEK CryptoKey 專案:可讓您定義哪些專案可在機構、專案或資料夾中設定資源時,提供 KMS 金鑰給 CMEK。如果設定這項限制,只有指定專案中的 KMS 金鑰可用於受 CMEK 保護的資源。如果未設定限制,可以使用任何專案的 CryptoKey。
如要進一步瞭解如何套用機構政策,請參閱「套用 CMEK 機構政策」。
CMEK 選項
NetApp Volumes 支援 CMEK,可儲存為軟體金鑰、HSM 叢集中的硬體金鑰,或儲存在 Cloud External Key Manager (Cloud EKM) 中的外部金鑰。
詳情請參閱 Cloud Key Management Service。
金鑰錯誤對作業的影響
如果 CMEK 政策中使用的 Cloud KMS 金鑰遭到停用,或是無法存取外部金鑰,NetApp Volumes 資源和作業可能會受到影響。
外部金鑰由第三方管理,Google Google Cloud 不負責確保金鑰可用性。
如果外部金鑰管理工具 (EKM) 通知 Cloud Key Management Service 外部金鑰無法存取,使用該金鑰的磁碟區就會離線,導致無法執行讀取和寫入作業。如果停用 Cloud KMS 金鑰,也會發生相同結果。
如果 EKM 無法連線,或 Cloud KMS 金鑰在來源或目的地區域中遭到停用,使用者嘗試執行下列作業時也會收到錯誤訊息,其中包含金鑰的目前狀態詳細資料: