本页介绍了如何使用客户管理的加密密钥 (CMEK) 管理 Google Cloud NetApp Volumes。
CMEK 简介
NetApp Volumes 始终使用卷专用密钥对您的数据进行加密。NetApp Volumes 始终会对静态数据进行加密。
使用 CMEK 时,Cloud Key Management Service 会封装您存储的卷密钥。借助此功能,您可以更好地控制所使用的加密密钥,并通过将密钥存储在系统上或与数据不同的位置来增强安全性。NetApp Volumes 支持 Cloud Key Management Service 功能,例如硬件安全模块,以及生成、使用、轮替和销毁等完整的密钥管理生命周期。
NetApp Volumes 支持每个区域一个 CMEK 政策。CMEK 政策会附加到存储池,并且该存储池中创建的所有卷都会使用该政策。您可以在一个区域中混合使用采用和不采用 CMEK 政策的存储池。如果您在特定区域中有未使用 CMEK 的存储分区,则可以使用相应区域的 CMEK 政策的迁移操作将其转换为使用 CMEK。
您可以选择是否使用 CMEK。CMEK 政策因区域而异。您只能为每个区域配置一项政策。
注意事项
以下部分列出了 CMEK 的限制。
密钥管理
如果使用 CMEK,您需要自行负责管理密钥和数据。
Cloud KMS 配置
CMEK 使用对称密钥进行加密和解密。在项目的某个区域中删除所有卷后,Cloud KMS 配置会返回到 Ready 创建状态。当您在该区域中创建下一个卷时,系统会再次使用该 ID。
区域密钥环
NetApp Volumes 仅支持区域性 KMS 密钥环,并且它们需要与 CMEK 政策位于同一区域。
服务等级
CMEK 支持“灵活”“标准”“高级”和“极端”服务等级的存储池。
VPC Service Controls
使用 VPC Service Controls 时,请务必考虑 适用于 NetApp 卷的 VPC Service Controls 限制。