本页介绍了如何创建客户管理的加密密钥 (CMEK) 政策。
创建 CMEK 政策
请按照以下说明使用 Google Cloud 控制台或 Google Cloud CLI 创建 CMEK 政策:
控制台
前往 Google Cloud 控制台中的 NetApp Volumes 页面。
选择 CMEK 政策。
在创建 CMEK 政策下,点击创建。
在 CMEK 政策的名称字段中输入一个唯一名称。
可选:在说明字段中添加说明。
为政策选择区域。
从以下选项中选择一个 Cloud KMS 密钥:
从下拉菜单中选择项目中的 Cloud KMS 密钥。
如果您想在其他项目中查找 Cloud KMS 密钥,请选择切换项目。您需要在所选项目中拥有
roles/cloudkms.viewer权限,才能浏览密钥。如果您想手动输入密钥,请选择手动输入密钥。如果您无权查找要使用的密钥,此功能会很有帮助。
可选:在标签字段中添加标签。
点击创建。
您的 CMEK 政策会显示在 CMEK 政策页面上。相应政策的状态带有感叹号。这个感叹号表示此政策需要先经过验证,然后才能使用。如需了解详情,请参阅验证密钥访问权限。
gcloud
请按照以下说明使用 Google Cloud CLI 创建 CMEK 政策。
使用以下参数运行
kms-configs命令:gcloud netapp kms-configs create CONFIG_NAME \ --project=PROJECT_ID \ --location=LOCATION \ --kms-project=KEY_RING_PROJECT \ --kms-location=KEY_RING_LOCATION \ --kms-keyring=KEY_RING \ --kms-key=KEY_NAME
替换以下信息:
CONFIG_NAME:要创建的配置的名称。每个地区的此名称必须是唯一的。PROJECT_ID:您要在其中创建 CMEK 政策的项目的名称。LOCATION:要创建配置的区域。Google Cloud NetApp Volumes 仅支持每个区域一个配置。KEY_RING_PROJECT:托管 KMS 密钥环的项目的项目 ID。KEY_RING_LOCATION:KMS 密钥环的位置。KEY_RING:KMS 密钥环的名称。KEY_NAME:KMS 密钥的名称。
如需了解更多选项,请参阅 Cloud Key Management Service 的 Google Cloud SDK 文档。