Auf dieser Seite erfahren Sie, wie Sie den Schlüsselzugriff überprüfen, nachdem Sie eine Richtlinie für vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) erstellt haben.
Anwendungsfälle für die Bestätigung des Schlüsselzugriffs
Sie können die Überprüfung des Schlüsselzugriffs jederzeit wiederholen, um Probleme mit dem Schlüssel zu identifizieren:
Deaktivierung von Schlüsseln: Wenn ein Schlüssel deaktiviert wird, wird der Datenzugriff auf Volumes beendet.
Schlüsselvernichtung: Wenn ein Schlüssel gelöscht wird, kann der Zugriff auf die Daten nicht wiederhergestellt werden. Sie können Volumes löschen, um Kapazität freizugeben. Weitere Informationen finden Sie unter Volume löschen.
Fehlende Berechtigungen: Wenn Berechtigungen entfernt wurden, wird eine Anleitung zum Erteilen angezeigt. Weitere Informationen finden Sie unter Dem Dienst die Berechtigung zum Lesen eines Schlüssels erteilen.
Dem Dienst die Berechtigung zum Lesen eines Schlüssels erteilen
Wenn Sie einen CMEK-Schlüssel verwenden möchten, müssen Sie dem Dienst zuerst die Berechtigung zum Lesen des angegebenen Schlüssels erteilen. NetApp Volumes stellt die richtigen Google Cloud CLI-Befehle bereit. Um dem Dienst die erforderlichen Cloud KMS-Schlüsselberechtigungen zu gewähren, müssen Sie eine projektweite benutzerdefinierte Rolle mit den entsprechenden Berechtigungen und dann eine Schlüsselrollenbindung erstellen, die die benutzerdefinierte Rolle mit dem entsprechenden Dienstkonto verknüpft. Sie benötigen die Berechtigungen „Rollenadministrator“ (roles/iam.RoleAdmin) für das Projekt in Ihrem Google-Konto, um die benutzerdefinierte Rolle zu erstellen, und die Berechtigungen „Cloud KMS-Administrator“ (roles/cloudkms.admin), um NetApp-Volumes Zugriff auf den Schlüssel zu gewähren.
Konsole
Führen Sie die folgenden Schritte aus, um dem Dienst über die Google Cloud Console die Berechtigung zum Lesen eines Schlüssels zu erteilen.
Rufen Sie in der Google Cloud -Konsole die Seite NetApp-Volumes auf.
Wählen Sie CMEK-Richtlinien aus.
Suchen Sie die CMEK-Richtlinie, die Sie bearbeiten möchten, und klicken Sie auf das Dreipunkt-Menü Mehr anzeigen.
Wählen Sie Schlüsselzugriff überprüfen aus.
Wenn Sie den Schlüsselzugriff noch nicht konfiguriert haben, schlägt die Überprüfung fehl und in der Benutzeroberfläche wird eine Anleitung zum Gewähren des Schlüsselzugriffs angezeigt. Nachdem Sie die erforderlichen Google Cloud CLI-Befehle ausgeführt haben, klicken Sie auf Noch einmal versuchen, um die Schlüsselüberprüfung noch einmal auszuführen.
Wenn die Bestätigung erfolgreich war, wird ein Dialogfeld mit einer entsprechenden Meldung angezeigt. Wenn die Bestätigung fehlschlägt, klicken Sie auf Wiederholen, um die Schlüsselprüfung noch einmal auszuführen.
gcloud
Führen Sie die folgenden Schritte aus, um dem Dienst mithilfe der Google Cloud CLI die Berechtigung zum Lesen eines Schlüssels zu erteilen.
Führen Sie folgenden Befehl kms-configs verify aus:
gcloud netapp kms-configs verify CONFIG_NAME \ --project=PROJECT_ID \ --location=LOCATION
Ersetzen Sie die folgenden Informationen:
CONFIG_NAME: der Name der Konfiguration.PROJECT_ID: die eindeutige Projekt-ID, für die Sie Zugriff gewähren möchten.LOCATION: die Region der Konfiguration.
Wenn die Schlüsselüberprüfung erfolgreich ist, gibt der Befehl die folgende Meldung aus:
healthy: true
Wenn die Schlüsselüberprüfung fehlschlägt, müssen Sie dem Schlüssel Zugriffsberechtigungen gewähren.
Führen Sie den folgenden Befehl aus, um die Google Cloud CLI-Befehle zu ermitteln, mit denen Sie dem Dienstschlüssel Zugriff gewähren können. Sie benötigen die Rolle cloudkms.admin, um den folgenden Befehl auszuführen.
gcloud netapp kms-configs describe CONFIG_NAME \ --project=PROJECT_ID \ --location=LOCATION \ --format="value(instructions)"
Weitere Optionen finden Sie in der Google Cloud SDK-Dokumentation für Cloud Key Management Service.
Weitere Informationen finden Sie in der Cloud Key Management Service-Nutzerdokumentation.
Nächste Schritte
Bearbeiten oder löschen Sie eine CMEK-Richtlinie.