Auf dieser Seite wird beschrieben, wie Sie vom Kunden verwaltete Verschlüsselungsschlüssel (Customer Managed Encryption Keys, CMEK) zum Verwalten von Google Cloud NetApp-Volumes verwenden.
CMEK
NetApp Volumes verschlüsselt Ihre Daten immer mit volumenspezifischen Schlüsseln. NetApp Volumes verschlüsselt Ihre inaktiven Daten immer.
Mit CMEK umhüllt der Cloud Key Management Service Ihre gespeicherten Volume-Schlüssel. Mit dieser Funktion haben Sie mehr Kontrolle über die verwendeten Verschlüsselungsschlüssel und können sie an einem anderen Ort als den Daten speichern, um die Sicherheit zu erhöhen. NetApp Volumes unterstützt Cloud Key Management Service-Funktionen wie Hardwaresicherheitsmodule und den vollständigen Schlüsselverwaltungszyklus von Generieren, Verwenden, Rotieren und Verwerfen.
NetApp Volumes unterstützt eine CMEK-Richtlinie pro Region. Eine CMEK-Richtlinie wird an einen Speicherpool angehängt und wird von allen in diesem Pool erstellten Volumes verwendet. In einer Region können Sie Speicherpools mit und ohne CMEK-Richtlinien kombinieren. Wenn Sie in einer bestimmten Region Pools ohne CMEK haben, können Sie sie mithilfe der Migrationsaktion der CMEK-Richtlinie einer Region in CMEK umwandeln.
Die Verwendung von CMEK ist optional. CMEK-Richtlinien sind regionspezifisch. Sie können nur eine Richtlinie pro Region konfigurieren.
Hinweise
In den folgenden Abschnitten werden Einschränkungen für CMEK beschrieben.
Schlüsselverwaltung
Bei Verwendung von CMEK sind Sie allein für Ihre Schlüssel und Ihre Daten verantwortlich.
Cloud KMS-Konfigurationen
Bei CMEK werden symmetrische Schlüssel für die Verschlüsselung und Entschlüsselung verwendet.
Nachdem alle Volumes in einer Region für ein Projekt gelöscht wurden, kehrt die Cloud KMS-Konfiguration in den Status „Erstellt“ (Ready) zurück. Sie wird wieder verwendet, wenn Sie das nächste Volume in dieser Region erstellen.
Regionale Schlüsselringe
NetApp Volumes unterstützt nur regionale KMS-Schlüsselringe und diese müssen sich in derselben Region wie die CMEK-Richtlinie befinden.
Service-Level
CMEK wird für Speicherpools der Service-Levels „Flex“, „Standard“, „Premium“ und „Extreme“ unterstützt.
VPC Service Controls
Beachten Sie bei der Verwendung von VPC Service Controls die Einschränkungen von VPC Service Controls für NetApp-Volumes.
Nächste Schritte
Erstellen Sie eine CMEK-Richtlinie.