创建并获取 CMEK 密钥

如果您使用客户管理的加密密钥 (CMEK) 来加密 Assured Workloads 资源，则本页面介绍了如何创建和获取这些密钥。详细了解 Assured Workloads 加密选项。

准备工作

1. 选择加密策略。

2. 为支持您的要求的控制包创建 Assured Workloads 文件夹。

3. 选择包含 Assured Workloads CMEK 密钥的项目的 ID。如果您选择 IL4 或 CJIS 作为控制文件包，则默认情况下，系统会为您创建此项目。

创建密钥

如需创建 CMEK 密钥，请执行以下操作：

1. 在 Google Cloud 控制台中，前往密钥管理页面：

   前往密钥管理

2. 选择 Assured Workloads CMEK 项目。默认情况下，此项目 ID 以 cmek- 开头。

3. 点击您的密钥环。

4. 点击创建密钥。

5. 在您要创建哪种类型的密钥？列表中，选择生成的密钥。

6. 在密钥名称中输入密钥名称。

7. 在保护级别列表中，选择软件。

8. 从用途列表中，选择对称加密/解密。

9. 从轮替周期列表中，选择 90 天。

10. 可选：要添加标签，请执行以下操作：

    1. 点击添加标签。
    2. 在密钥文本字段中输入一个密钥。
    3. 在值文本字段中输入一个值。

11. 点击创建。

获取 CMEK 密钥资源 ID

1. 在 Google Cloud 控制台的项目选择器中，选择包含 CMEK 密钥的项目的 ID。默认情况下，如果 Assured Workloads 创建此项目，则会在项目 ID 前面加上 cmek-。

2. 在安全中，前往密钥管理页面：

   前往密钥管理

3. 在密钥环下，点击密钥环名称。

4. 在密钥环详细信息的密钥标签页中，点击密钥的名称。

5. 点击密钥名称右侧的 more_vert 更多图标。

6. 点击复制资源名称。

   资源字符串格式设置如下：

    projects/SECURITY_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_NAME/cryptoKeys/KEY_NAME
   

后续步骤

• 了解如何支持密钥管理合规性。
• 了解数据加密和加密密钥。