本页介绍了在创建客户管理的加密密钥 (CMEK) 政策后如何验证密钥访问权限。
密钥访问验证用例
您可以随时重新运行密钥访问权限验证,以找出密钥存在的问题:
密钥停用:如果密钥被停用,系统会停止对卷的数据访问。
密钥销毁:如果密钥被销毁,则无法恢复对数据的访问权限。您可以删除卷以释放容量。请参阅删除卷。
缺少权限:如果系统移除了权限,系统会显示授予权限的说明。请参阅向服务授予读取密钥的权限。
向服务授予读取密钥的权限
如需使用 CMEK 密钥,您必须先向服务授予读取指定密钥的权限。NetApp Volumes 会提供正确的 Google Cloud CLI 命令。如需向服务授予所需的 Cloud KMS 密钥权限,您需要创建具有适当权限的项目级自定义角色,然后创建将自定义角色绑定到适当服务账号的密钥角色绑定。您需要在 Google 账号中拥有项目的 Role Administrator (roles/iam.RoleAdmin) 权限才能创建自定义角色,并且需要拥有 Cloud KMS Admin (roles/cloudkms.admin) 权限才能向 NetApp Volumes 授予对密钥的访问权限。
控制台
按照以下说明使用 Google Cloud 控制台向服务授予读取密钥的权限。
在 Google Cloud 控制台中,前往 NetApp 卷页面。
选择 CMEK 政策。
找到要修改的 CMEK 政策,然后点击展开菜单。
选择验证密钥访问权限。
如果您尚未配置密钥访问权限,验证将失败,界面上会显示有关如何授予密钥访问权限的说明。运行所需的 Google Cloud CLI 命令后,点击重试以重新运行密钥验证。
如果验证成功,系统会显示一个对话框,指明验证成功。如果验证失败,请点击重试以重新运行密钥检查。
gcloud
按照以下说明使用 Google Cloud CLI 向服务授予读取密钥的权限。
运行以下 kms-configs verify 命令:
gcloud netapp kms-configs verify CONFIG_NAME \ --project=PROJECT_ID \ --location=LOCATION
替换以下信息:
CONFIG_NAME:配置的名称。PROJECT_ID:您要授予访问权限的项目的唯一 ID。LOCATION:配置的区域。
如果密钥验证成功,该命令会输出以下消息:
healthy: true
如果密钥验证失败,您必须向密钥授予访问权限。运行以下命令,找出用于向服务密钥授予访问权限的 Google Cloud CLI 命令。您需要拥有 cloudkms.admin 角色才能运行以下命令。
gcloud netapp kms-configs describe CONFIG_NAME \ --project=PROJECT_ID \ --location=LOCATION \ --format="value(instructions)"
如需了解更多选项,请参阅 Cloud Key Management Service 的 Google Cloud SDK 文档。
如需了解详情,请参阅 Cloud Key Management Service 用户文档。