Cette page décrit l'utilisation des clés de chiffrement gérées par le client (CMEK) pour gérer les Google Cloud NetApp Volumes.
À propos de CMEK
NetApp Volumes chiffre toujours vos données à l'aide de clés spécifiques au volume. NetApp Volumes chiffre toujours vos données au repos.
Avec CMEK, Cloud Key Management Service encapsule vos clés de volume stockées. Cette fonctionnalité vous permet de mieux contrôler les clés de chiffrement que vous utilisez et de renforcer la sécurité en les stockant sur un système ou dans un emplacement différent des données. NetApp Volumes est compatible avec les fonctionnalités de Cloud Key Management Service, telles que les modules de sécurité matériels, ainsi que le cycle de vie complet de la gestion des clés (génération, utilisation, rotation et destruction).
NetApp Volumes accepte une stratégie CMEK par région. Une stratégie CMEK s'associe à un pool de stockage et tous les volumes créés dans ce pool l'utilisent. Vous pouvez combiner des pools de stockage avec et sans règles CMEK dans une région. Si vous disposez de pools sans CMEK dans une région spécifique, vous pouvez les convertir en CMEK à l'aide de l'action de migration de la stratégie CMEK d'une région.
L'utilisation de CMEK est facultative. Si elles sont utilisées, les stratégies CMEK sont spécifiques à la région. Vous ne pouvez configurer qu'une seule stratégie par région.
Remarques
Les sections suivantes incluent les limites à prendre en compte pour le chiffrement CMEK.
Gestion des clés
Si vous utilisez CMEK, vous êtes l'unique responsable de vos clés et de vos données.
Configurations Cloud KMS
CMEK utilise des clés symétriques pour le chiffrement et le déchiffrement.
Une fois tous les volumes supprimés dans une région pour un projet, la configuration Cloud KMS revient à l'état Ready créé. Il est réutilisé lorsque vous créez le volume suivant dans cette région.
Trousseaux de clés régionaux
NetApp Volumes n'est compatible qu'avec les trousseaux de clés KMS régionaux, qui doivent se trouver dans la même région que la stratégie CMEK.
Niveau de service
Les clés de chiffrement gérées par le client (CMEK) sont compatibles avec les pools de stockage des niveaux de service Flex, Standard, Premium et Extreme.
VPC Service Controls
Lorsque vous utilisez VPC Service Controls, tenez compte des limites de VPC Service Controls pour les volumes NetApp.