Valide o acesso à chave

Esta página fornece instruções sobre como validar o acesso à chave depois de criar uma política de chave de encriptação gerida pelo cliente (CMEK).

Exemplos de utilização da validação do acesso à chave

Em qualquer altura, pode executar novamente a validação do acesso à chave para identificar problemas com a chave:

  • Desativação de chaves: se uma chave for desativada, o acesso aos dados dos volumes é interrompido.

  • Destruições de chaves: se uma chave for destruída, o acesso aos dados não é restaurável. Pode eliminar volumes para libertar capacidade. Para mais informações, consulte o artigo Elimine um volume.

  • Autorizações em falta: se as autorizações forem removidas, são apresentadas as instruções para as conceder. Consulte o artigo Conceda autorização ao serviço para ler uma chave.

Conceda ao serviço autorização para ler uma chave

Para usar uma chave CMEK, tem de conceder primeiro autorização ao serviço para ler a chave especificada. O NetApp Volumes fornece os comandos da CLI do Google Cloud corretos. Para conceder as autorizações da chave do Cloud KMS necessárias ao serviço, tem de criar uma função personalizada ao nível do projeto com as autorizações adequadas e, em seguida, uma associação de funções de chave que associe a função personalizada à conta de serviço adequada. Precisa das autorizações de administrador de funções (roles/iam.RoleAdmin) no projeto na sua Conta Google para criar a função personalizada e das autorizações de administrador do Cloud KMS (roles/cloudkms.admin) para conceder acesso dos volumes da NetApp à chave.

Consola

Siga as instruções abaixo para conceder autorização ao serviço para ler uma chave através da consola do Google Cloud. Google Cloud

  1. Aceda à página Volumes do NetApp na Google Cloud consola.

    Aceda a NetApp Volumes

  2. Selecione Políticas de CMEK.

  3. Localize a política de CMEK que quer editar e clique no menu Mostrar mais.

  4. Selecione Validar acesso à chave.

  5. Se ainda não configurou o acesso por chave, a validação falha e a IU mostra instruções sobre como conceder acesso por chave. Depois de executar os comandos da CLI gcloud necessários, clique em Tentar novamente para executar a validação da chave novamente.

    Se a validação for bem-sucedida, é apresentada uma caixa de diálogo que indica que a validação foi bem-sucedida. Se a validação não for bem-sucedida, clique em Tentar novamente para executar novamente a verificação da chave.

gcloud

Use as instruções seguintes para conceder ao serviço autorização para ler uma chave através da CLI Google Cloud.

Execute o seguinte comando kms-configs verify:

 gcloud netapp kms-configs verify CONFIG_NAME \
   --project=PROJECT_ID \
   --location=LOCATION

Substitua as seguintes informações:

  • CONFIG_NAME: o nome da configuração.

  • PROJECT_ID: o ID do projeto exclusivo ao qual quer conceder acesso.

  • LOCATION: a região da configuração.

Se a validação da chave for bem-sucedida, o comando produz a seguinte mensagem:

healthy: true

Se a validação da chave falhar, tem de conceder autorizações de acesso à chave. Execute o seguinte comando para identificar os comandos da CLI gcloud que concedem acesso à chave de serviço. Precisa da função cloudkms.admin para executar o seguinte comando.

  gcloud netapp kms-configs describe CONFIG_NAME \
   --project=PROJECT_ID \
   --location=LOCATION \
   --format="value(instructions)"

Para ver mais opções, consulte a documentação do SDK Cloud da Google para o Cloud Key Management Service.

Para mais informações, consulte a documentação do utilizador do Cloud Key Management Service.

O que se segue?

Faça a gestão das políticas de CMEK.