Verificar acesso à chave

Esta página fornece instruções sobre como verificar o acesso à chave depois de criar uma política de chave de criptografia gerenciada pelo cliente (CMEK).

Casos de uso de verificação de chave de acesso

É possível executar a verificação de acesso à chave a qualquer momento para identificar problemas com a chave:

  • Desativação de chaves: se uma chave for desativada, o acesso de dados aos volumes será interrompido.

  • Destruição de chaves: se uma chave for destruída, o acesso aos dados não poderá ser restaurado. Você pode excluir volumes para liberar capacidade. Consulte Excluir um volume.

  • Permissões ausentes: se as permissões forem removidas, as instruções para concedê-las vão aparecer. Consulte Conceder permissão ao serviço para ler uma chave.

Conceder permissão ao serviço para ler uma chave

Para usar uma chave CMEK, primeiro é necessário conceder ao serviço a permissão para ler a chave especificada. NetApp Volumes fornecem os comandos corretos da Google Cloud CLI. Para conceder as permissões de chave do Cloud KMS necessárias ao serviço, é necessário criar um papel personalizado em todo o projeto com as permissões adequadas e, em seguida, uma vinculação de papel de chave que associe o papel personalizado à conta de serviço apropriada. Você precisa das permissões de administrador de função (roles/iam.RoleAdmin) no projeto na sua Conta do Google para criar o papel personalizado e as permissões de administrador do Cloud KMS (roles/cloudkms.admin) para conceder acesso aos NetApp Volumes à chave.

Console

Use as instruções a seguir para conceder ao serviço permissão para ler uma chave usando o console do Google Cloud .

  1. Acesse a página Volumes do NetApp no console do Google Cloud .

    Acessar o NetApp Volumes

  2. Selecione Políticas de CMEK.

  3. Encontre a política CMEK que você quer editar e clique no menu Mostrar mais.

  4. Selecione Verificar acesso à chave.

  5. Se você ainda não tiver configurado o acesso à chave, a verificação vai falhar e a UI vai mostrar instruções sobre como conceder o acesso. Depois de executar os comandos necessários da Google Cloud CLI, clique em Tentar novamente para executar a verificação de chave novamente.

    Se a verificação for bem-sucedida, uma caixa de diálogo vai aparecer indicando que a verificação foi concluída. Se a verificação não for bem-sucedida, clique em Tentar de novo para executar a verificação de chave novamente.

gcloud

Use as instruções a seguir para conceder ao serviço permissão para ler uma chave usando a Google Cloud CLI.

Execute o seguinte comando kms-configs verify:

 gcloud netapp kms-configs verify CONFIG_NAME \
   --project=PROJECT_ID \
   --location=LOCATION

Substitua as seguintes informações:

  • CONFIG_NAME: o nome da configuração.

  • PROJECT_ID: o ID exclusivo do projeto para o qual você quer conceder acesso.

  • LOCATION: a região da configuração.

Se a verificação da chave for bem-sucedida, o comando vai gerar a seguinte mensagem:

healthy: true

Se a verificação da chave falhar, você terá que conceder permissões de acesso à chave. Execute o comando a seguir para identificar os comandos da Google Cloud CLI e conceder o acesso à chave de serviço. Você precisa ter o papel cloudkms.admin para executar o comando abaixo.

  gcloud netapp kms-configs describe CONFIG_NAME \
   --project=PROJECT_ID \
   --location=LOCATION \
   --format="value(instructions)"

Para mais opções, consulte a documentação do SDK Google Cloud para o Cloud Key Management Service.

Para mais informações, consulte a documentação do usuário do Cloud Key Management Service.

A seguir

Edite ou exclua uma política de CMEK.