Cette page explique comment valider l'accès aux clés après avoir créé une stratégie de clé de chiffrement gérée par le client (CMEK, Customer-Managed Encryption Key).
Cas d'utilisation de la vérification des accès aux clés
Vous pouvez à tout moment relancer la vérification de l'accès à la clé pour identifier les problèmes liés à la clé:
Désactivation de la clé: si une clé est désactivée, l'accès aux données des volumes est interrompu.
Destruction de clés: si une clé est détruite, l'accès aux données ne peut pas être restauré. Vous pouvez supprimer des volumes pour libérer de la capacité. Consultez la section Supprimer un volume.
Autorisations manquantes: si des autorisations sont supprimées, les instructions pour les accorder s'affichent. Consultez Accorder au service l'autorisation de lire une clé.
Accorder au service l'autorisation de lire une clé
Pour utiliser une clé CMEK, vous devez d'abord accorder au service l'autorisation de lire la clé spécifiée. NetApp Volumes fournit les commandes Google Cloud CLI appropriées. Pour accorder les autorisations de clé Cloud KMS requises au service, vous devez créer un rôle personnalisé à l'échelle du projet avec les autorisations appropriées, puis une liaison de rôle de clé qui lie le rôle personnalisé au compte de service approprié. Vous devez disposer des autorisations Administrateur de rôle (roles/iam.RoleAdmin) sur le projet dans votre compte Google pour créer le rôle personnalisé et des autorisations Administrateur Cloud KMS (roles/cloudkms.admin) pour accorder à NetApp Volumes l'accès à la clé.
Console
Suivez les instructions ci-dessous pour autoriser le service à lire une clé à l'aide de la console Google Cloud .
Accédez à la page Volumes NetApp dans la console Google Cloud .
Sélectionnez Règles CMEK.
Recherchez la règle CMEK que vous souhaitez modifier, puis cliquez sur le menu Afficher plus.
Sélectionnez Valider l'accès aux clés.
Si vous n'avez pas encore configuré l'accès aux clés, la validation échoue et l'UI affiche des instructions pour accorder l'accès aux clés. Après avoir exécuté les commandes Google Cloud CLI requises, cliquez sur Réessayer pour exécuter à nouveau la validation des clés.
Si la validation réussit, une boîte de dialogue s'affiche pour indiquer que la validation a réussi. Si la validation échoue, cliquez sur Réessayer pour relancer la vérification de la clé.
gcloud
Suivez les instructions ci-dessous pour autoriser le service à lire une clé à l'aide de la Google Cloud CLI.
Exécutez la commande kms-configs verify suivante :
gcloud netapp kms-configs verify CONFIG_NAME \ --project=PROJECT_ID \ --location=LOCATION
Remplacez les informations suivantes:
CONFIG_NAME: nom de la configuration.PROJECT_ID: ID de projet unique pour lequel vous souhaitez accorder l'accès.LOCATION: région de la configuration.
Si la validation de la clé réussit, la commande affiche le message suivant:
healthy: true
Si la validation de la clé échoue, vous devez accorder des autorisations d'accès à la clé.
Exécutez la commande suivante pour identifier les commandes Google Cloud CLI permettant d'accorder l'accès à la clé de service. Vous avez besoin du rôle cloudkms.admin pour exécuter la commande suivante.
gcloud netapp kms-configs describe CONFIG_NAME \ --project=PROJECT_ID \ --location=LOCATION \ --format="value(instructions)"
Pour en savoir plus, consultez la documentation du SDK Google Cloud pour Cloud Key Management Service.
Pour en savoir plus, consultez la documentation utilisateur de Cloud Key Management Service.
Étape suivante
Modifier ou supprimer une stratégie CMEK