Memverifikasi akses kunci

Halaman ini memberikan petunjuk tentang cara memverifikasi akses kunci setelah Anda membuat kebijakan kunci enkripsi yang dikelola pelanggan (CMEK).

Kasus penggunaan verifikasi akses kunci

Anda dapat menjalankan kembali verifikasi akses kunci kapan saja untuk mengidentifikasi masalah pada kunci:

  • Penonaktifan kunci: jika kunci dinonaktifkan, akses data ke volume akan berhenti.

  • Penghancuran kunci: jika kunci dihancurkan, akses ke data tidak dapat dipulihkan. Anda dapat menghapus volume untuk mengosongkan kapasitas. Lihat Menghapus volume.

  • Izin tidak ada: jika izin dihapus, petunjuk untuk memberikannya akan muncul. Lihat Memberikan izin layanan untuk membaca kunci.

Memberikan izin layanan untuk membaca kunci

Untuk menggunakan kunci CMEK, Anda harus memberikan izin layanan untuk membaca kunci yang ditentukan terlebih dahulu. NetApp Volumes menyediakan perintah Google Cloud CLI yang benar. Untuk memberikan izin kunci Cloud KMS yang diperlukan ke layanan, Anda perlu membuat peran kustom seluruh project dengan izin yang sesuai, lalu binding peran kunci yang mengikat peran kustom ke akun layanan yang sesuai. Anda memerlukan izin Role Administrator (roles/iam.RoleAdmin) pada project dalam Akun Google Anda untuk membuat peran kustom dan izin Cloud KMS Admin (roles/cloudkms.admin) untuk memberikan akses NetApp Volume ke kunci.

Konsol

Gunakan petunjuk berikut untuk memberikan izin layanan guna membaca kunci menggunakan konsol Google Cloud .

  1. Buka halaman Volume NetApp di konsol Google Cloud .

    Buka NetApp Volumes

  2. Pilih Kebijakan CMEK.

  3. Temukan kebijakan CMEK yang ingin Anda edit, lalu klik menu Tampilkan lainnya.

  4. Pilih Verifikasi akses kunci.

  5. Jika Anda belum mengonfigurasi akses kunci, verifikasi akan gagal dan UI akan menampilkan petunjuk tentang cara memberikan akses kunci. Setelah menjalankan perintah Google Cloud CLI yang diperlukan, klik Coba lagi untuk menjalankan verifikasi kunci lagi.

    Jika verifikasi berhasil, dialog akan muncul yang menunjukkan verifikasi berhasil. Jika verifikasi gagal, klik Coba lagi untuk menjalankan kembali pemeriksaan kunci.

gcloud

Gunakan petunjuk berikut untuk memberikan izin layanan guna membaca kunci menggunakan Google Cloud CLI.

Jalankan perintah kms-configs verify berikut:

 gcloud netapp kms-configs verify CONFIG_NAME \
   --project=PROJECT_ID \
   --location=LOCATION

Ganti informasi berikut:

  • CONFIG_NAME: nama konfigurasi.

  • PROJECT_ID: project ID unik yang aksesnya ingin Anda berikan.

  • LOCATION: region konfigurasi.

Jika verifikasi kunci berhasil, perintah akan menampilkan pesan berikut:

healthy: true

Jika verifikasi kunci gagal, Anda harus memberikan izin akses ke kunci. Jalankan perintah berikut untuk mengidentifikasi perintah Google Cloud CLI guna memberikan akses kunci layanan. Anda memerlukan peran cloudkms.admin untuk menjalankan perintah berikut.

  gcloud netapp kms-configs describe CONFIG_NAME \
   --project=PROJECT_ID \
   --location=LOCATION \
   --format="value(instructions)"

Untuk opsi lainnya, lihat dokumentasi Google Cloud SDK untuk Cloud Key Management Service.

Untuk informasi selengkapnya, lihat Dokumentasi pengguna Cloud Key Management Service.

Langkah selanjutnya

Mengedit atau menghapus kebijakan CMEK.