En esta página, se proporcionan instrucciones para verificar el acceso a las claves después de crear una política de claves de encriptación administradas por el cliente (CMEK).
Casos de uso de verificación de acceso a claves
En cualquier momento, puedes volver a ejecutar la verificación de acceso a la clave para identificar problemas con la clave:
Inhabilitación de claves: Si se inhabilita una clave, se detiene el acceso a los datos de los volúmenes.
Destrucción de claves: Si se destruye una clave, no se puede restablecer el acceso a los datos. Puedes borrar volúmenes para liberar capacidad. Consulta Cómo borrar un volumen.
Faltan permisos: Si se quitan los permisos, aparecen las instrucciones para otorgarlos. Consulta Otorga permiso al servicio para leer una clave.
Otorga permiso al servicio para leer una clave
Para usar una clave de CMEK, primero debes otorgarle permiso al servicio para que lea la clave especificada. NetApp Volumes proporciona los comandos correctos de Google Cloud CLI. Para otorgar los permisos de clave de Cloud KMS necesarios al servicio, debes crear un rol personalizado para todo el proyecto con los permisos adecuados y, luego, una vinculación de roles de claves que vincule el rol personalizado a la cuenta de servicio adecuada. Necesitas los permisos de administrador de roles (roles/iam.RoleAdmin) en el proyecto de tu Cuenta de Google para crear el rol personalizado y los permisos de administrador de Cloud KMS (roles/cloudkms.admin) para otorgar acceso a la clave a NetApp Volumes.
Console
Usa las siguientes instrucciones para otorgarle permiso al servicio para leer una clave con la consola de Google Cloud .
Ve a la página Volumes de NetApp en la consola de Google Cloud .
Selecciona Políticas de CMEK.
Busca la política de CMEK que quieres editar y haz clic en el menú Mostrar más.
Selecciona Verificar acceso a claves.
Si aún no configuraste el acceso a claves, la verificación fallará y la IU mostrará instrucciones para otorgar acceso a claves. Después de ejecutar los comandos necesarios de Google Cloud CLI, haz clic en Reintentar para volver a ejecutar la verificación de claves.
Si la verificación se realiza correctamente, aparecerá un diálogo que lo indicará. Si la verificación no se realiza correctamente, haz clic en Reintentar para volver a ejecutar la verificación de claves.
gcloud
Usa las siguientes instrucciones para otorgarle permiso al servicio para leer una clave con Google Cloud CLI.
Ejecuta el siguiente comando kms-configs verify:
gcloud netapp kms-configs verify CONFIG_NAME \ --project=PROJECT_ID \ --location=LOCATION
Reemplaza la siguiente información:
CONFIG_NAME: Es el nombre de la configuración.PROJECT_ID: El ID del proyecto único al que deseas otorgar acceso.LOCATION: Es la región de la configuración.
Si la verificación de claves se realiza correctamente, el comando muestra el siguiente mensaje:
healthy: true
Si la verificación de la clave falla, debes otorgarle permisos de acceso.
Ejecuta el siguiente comando para identificar los comandos de Google Cloud CLI que otorgan acceso a la clave de servicio. Necesitas el rol cloudkms.admin para ejecutar el siguiente comando.
gcloud netapp kms-configs describe CONFIG_NAME \ --project=PROJECT_ID \ --location=LOCATION \ --format="value(instructions)"
Para obtener más opciones, consulta la documentación del SDK de Google Cloud para Cloud Key Management Service.
Para obtener más información, consulta la documentación para usuarios de Cloud Key Management Service.
¿Qué sigue?
Edita o borra una política de CMEK.