Créer une stratégie CMEK

Cette page explique comment créer une stratégie de clé de chiffrement gérée par le client (CMEK).

Créer une stratégie CMEK

Suivez les instructions ci-dessous pour créer une règle CMEK à l'aide de la console Google Cloud ou de Google Cloud CLI:

Console

  1. Accédez à la page NetApp Volumes dans la console Google Cloud.

    Accéder à NetApp Volumes

  2. Sélectionnez Règles CMEK.

  3. Sous Créer une stratégie CMEK, cliquez sur Créer.

  4. Saisissez un nom unique dans le champ name pour la règle CMEK.

  5. Facultatif: ajoutez une description dans le champ description.

  6. Sélectionnez une région dans le champ region pour la règle.

  7. Sélectionnez une clé Cloud KMS parmi les options suivantes:

    • Choisissez parmi les clés Cloud KMS de votre projet qui s'affichent dans le menu déroulant.

    • Sélectionnez Changer de projet si vous souhaitez rechercher une clé Cloud KMS dans un autre projet. Vous devez disposer de roles/cloudkms.viewer dans le projet sélectionné pour pouvoir parcourir les clés.

    • Sélectionnez Saisir la clé manuellement si vous souhaitez saisir une clé manuellement. Cela est utile si vous ne disposez pas des autorisations nécessaires pour rechercher la clé que vous souhaitez utiliser.

  8. Facultatif: ajoutez un libellé dans le champ Libellés.

  9. Cliquez sur Créer.

Votre stratégie CMEK s'affiche sur la page "Règles CMEK". L'état de la règle comporte un point d'exclamation exclamation. Le point d'exclamation indique que cette règle doit être validée avant de pouvoir être utilisée. Pour en savoir plus, consultez la page Vérifier l'accès aux clés.

gcloud

Suivez les instructions ci-dessous pour créer une stratégie CMEK à l'aide de la Google Cloud CLI.

  1. Exécutez la commande kms-configs avec les paramètres suivants:

    gcloud netapp kms-configs create CONFIG_NAME \
 --project=PROJECT_ID \
 --location=LOCATION \
 --kms-project=KEY_RING_PROJECT \
 --kms-location=KEY_RING_LOCATION \
 --kms-keyring=KEY_RING \
 --kms-key=KEY_NAME

Remplacez les informations suivantes:

  • CONFIG_NAME: nom de la configuration à créer. Ce nom doit être unique par région.

  • PROJECT_ID: nom du projet dans lequel vous souhaitez créer la règle CMEK.

  • LOCATION: région de la configuration à créer. Google Cloud NetApp Volumes n'accepte qu'une seule configuration par région.

  • KEY_RING_PROJECT: ID du projet hébergeant le trousseau de clés KMS.

  • KEY_RING_LOCATION: emplacement du trousseau de clés KMS.

  • KEY_RING: nom du trousseau de clés KMS.

  • KEY_NAME: nom de la clé KMS.

Pour en savoir plus, consultez la documentation du SDK Google Cloud pour Cloud Key Management Service.

Étape suivante

Vérifiez l'accès aux clés.