Questa pagina fornisce istruzioni su come verificare l'accesso alle chiavi dopo aver creato un criterio per le chiavi di crittografia gestite dal cliente (CMEK).
Casi d'uso della verifica dell'accesso alle chiavi
Puoi eseguire nuovamente la verifica dell'accesso alla chiave in qualsiasi momento per identificare eventuali problemi con la chiave:
Disattivazione delle chiavi: se una chiave viene disattivata, l'accesso ai dati dei volumi viene interrotto.
Distruzione delle chiavi: se una chiave viene distrutta, l'accesso ai dati non è ripristinabile. Puoi eliminare i volumi per liberare capacità. Vedi Eliminare un volume.
Autorizzazioni mancanti: se le autorizzazioni vengono rimosse, vengono visualizzate le istruzioni per concederle. Vedi Concedere al servizio l'autorizzazione a leggere una chiave.
Concedi al servizio l'autorizzazione a leggere una chiave
Per utilizzare una chiave CMEK, devi prima concedere al servizio l'autorizzazione per leggere la chiave specificata. NetApp Volumes fornisce i comandi corretti dellGoogle Cloud CLI. Per concedere al servizio le autorizzazioni necessarie per le chiavi Cloud KMS, devi creare un ruolo personalizzato a livello di progetto con le autorizzazioni appropriate e poi un'associazione del ruolo della chiave che leghi il ruolo personalizzato all'account di servizio appropriato. Per creare il ruolo personalizzato e le autorizzazioni di amministratore Cloud KMS (roles/cloudkms.admin) per concedere a NetApp Volumes l'accesso alla chiave, devi disporre delle autorizzazioni di amministratore del ruolo (roles/iam.RoleAdmin) per il progetto all'interno del tuo Account Google.
Console
Segui le istruzioni riportate di seguito per concedere al servizio l'autorizzazione a leggere una chiave utilizzando la console Google Cloud .
Vai alla pagina Volumi NetApp nella console Google Cloud .
Seleziona Policy CMEK.
Trova il criterio CMEK che vuoi modificare e fai clic sul menu Mostra altro.
Seleziona Verifica accesso chiave.
Se non hai ancora configurato l'accesso alle chiavi, la verifica non va a buon fine e la UI mostra le istruzioni su come concedere l'accesso alle chiavi. Dopo aver eseguito i comandi dellGoogle Cloud CLI richiesti, fai clic su Riprova per eseguire di nuovo la verifica della chiave.
Se la verifica va a buon fine, viene visualizzata una finestra di dialogo che lo indica. Se la verifica non va a buon fine, fai clic su Riprova per eseguire di nuovo il controllo della chiave.
gcloud
Segui le istruzioni riportate di seguito per concedere al servizio l'autorizzazione a leggere una chiave utilizzando Google Cloud CLI.
Esegui questo comando kms-configs verify:
gcloud netapp kms-configs verify CONFIG_NAME \ --project=PROJECT_ID \ --location=LOCATION
Sostituisci le seguenti informazioni:
CONFIG_NAME: il nome della configurazione.PROJECT_ID: l'ID progetto univoco per cui vuoi concedere l'accesso.LOCATION: la regione della configurazione.
Se la verifica della chiave è andata a buon fine, il comando restituisce il seguente messaggio:
healthy: true
Se la verifica della chiave non va a buon fine, devi concedere le autorizzazioni di accesso alla chiave.
Esegui il seguente comando per identificare i comandi dell'interfaccia a riga di comando Google Cloud CLI per concedere l'accesso alla chiave di servizio. Per eseguire il seguente
comando, devi disporre del ruolo cloudkms.admin.
gcloud netapp kms-configs describe CONFIG_NAME \ --project=PROJECT_ID \ --location=LOCATION \ --format="value(instructions)"
Per altre opzioni, consulta la documentazione dell'SDK Google Cloud per Cloud Key Management Service.
Per saperne di più, consulta la documentazione utente di Cloud Key Management Service.
Passaggi successivi
Modifica o elimina una policy CMEK.