Eine CMEK-Richtlinie erstellen

Auf dieser Seite finden Sie eine Anleitung zum Erstellen einer Richtlinie für vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK).

Eine CMEK-Richtlinie erstellen

Gehen Sie nach der folgenden Anleitung vor, um mit der Google Cloud Console oder der Google Cloud CLI eine CMEK-Richtlinie zu erstellen:

Console

  1. Rufen Sie in der Google Cloud Console die Seite NetApp-Volumes auf.

    NetApp Volumes aufrufen

  2. Wählen Sie CMEK-Richtlinien aus.

  3. Klicken Sie unter CMEK-Richtlinie erstellen auf Erstellen.

  4. Geben Sie im Feld Name einen eindeutigen Namen für die CMEK-Richtlinie ein.

  5. Optional: Fügen Sie im Feld Beschreibung eine Beschreibung hinzu.

  6. Wählen Sie im Feld region eine Region für die Richtlinie aus.

  7. Wählen Sie einen Cloud KMS-Schlüssel aus den folgenden Optionen aus:

    • Wählen Sie einen der Cloud KMS-Schlüssel aus Ihrem Projekt aus, die im Drop-down-Menü angezeigt werden.

    • Wählen Sie Projekt wechseln aus, wenn Sie in einem anderen Projekt nach einem Cloud KMS-Schlüssel suchen möchten. Sie benötigen roles/cloudkms.viewer im ausgewählten Projekt, um Schlüssel durchsuchen zu können.

    • Wählen Sie Schlüssel manuell eingeben aus, wenn Sie einen Schlüssel manuell eingeben möchten. Das ist hilfreich, wenn Sie nicht berechtigt sind, den Schlüssel aufzurufen, den Sie verwenden möchten.

  8. Optional: Fügen Sie im Feld Labels ein Label hinzu.

  9. Klicken Sie auf Erstellen.

Ihre CMEK-Richtlinie wird auf der Seite „CMEK-Richtlinien“ angezeigt. Der Status der Richtlinie ist mit einem Ausrufezeichen gekennzeichnet. Das Ausrufezeichen gibt an, dass diese Richtlinie überprüft werden muss, bevor sie verwendet werden kann. Weitere Informationen finden Sie unter Schlüsselzugriff überprüfen.

gcloud

Folgen Sie der Anleitung unten, um mit der Google Cloud CLI eine CMEK-Richtlinie zu erstellen.

  1. Führen Sie den Befehl kms-configs mit den folgenden Parametern aus:

    gcloud netapp kms-configs create CONFIG_NAME \
 --project=PROJECT_ID \
 --location=LOCATION \
 --kms-project=KEY_RING_PROJECT \
 --kms-location=KEY_RING_LOCATION \
 --kms-keyring=KEY_RING \
 --kms-key=KEY_NAME

Ersetzen Sie die folgenden Informationen:

  • CONFIG_NAME: Der Name der zu erstellenden Konfiguration. Dieser Name muss pro Region eindeutig sein.

  • PROJECT_ID: Der Name des Projekts, in dem Sie die CMEK-Richtlinie erstellen möchten.

  • LOCATION: Die Region, in der die Konfiguration erstellt werden soll. Google Cloud NetApp Volumes unterstützt nur eine Konfiguration pro Region.

  • KEY_RING_PROJECT: die Projekt-ID des Projekts, in dem der KMS-Schlüsselbund gehostet wird.

  • KEY_RING_LOCATION: Der Speicherort des KMS-Schlüsselbunds.

  • KEY_RING: Der Name des KMS-Schlüsselbunds.

  • KEY_NAME: der Name des KMS-Schlüssels.

Weitere Optionen finden Sie in der Google Cloud SDK-Dokumentation für Cloud Key Management Service.

Nächste Schritte

Prüfen Sie den Schlüsselzugriff.