建立及取得 CMEK 金鑰

如果您使用客戶自行管理的加密金鑰 (CMEK) 來加密 Assured Workloads 資源，請參閱本頁面瞭解如何建立及取得這些金鑰。進一步瞭解 Assured Workloads 加密選項。

事前準備

1. 選擇加密策略。

2. 建立 Assured Workloads 資料夾，以便使用支援您需求的控制項套件。

3. 選取含有 Assured Workloads CMEK 金鑰的專案 ID。如果您選擇 IL4 或 CJIS 做為控制套件，系統會依預設為您建立這個專案。

建立金鑰

如要建立 CMEK 金鑰，請按照下列步驟操作：

1. 在 Google Cloud 控制台中，前往「Key management」頁面：

   前往「金鑰管理」

2. 選取 Assured Workloads CMEK 專案。根據預設，這個專案 ID 會以 cmek- 開頭。

3. 按一下金鑰環。

4. 按一下 [Create Key] (建立金鑰)。

5. 在「您要建立哪種類型的金鑰？」清單中，選取「產生的金鑰」。

6. 在「Key name」 中輸入金鑰名稱。

7. 在「防護等級」清單中，選取「軟體」。

8. 在「Purpose」清單中，選取「Symmetric encryption/decryption」。

9. 在「輪替週期」清單中，選取「90 天」。

10. 選用：如要新增標籤，請按照下列步驟操作：

    1. 按一下「新增標籤」。
    2. 在「Key」文字欄位中輸入金鑰。
    3. 在「值」文字欄位中輸入值。

11. 按一下 [Create]。

取得 CMEK 金鑰資源 ID

1. 在 Google Cloud 控制台的「專案選取器」中，選取含有 CMEK 金鑰的專案專案 ID。根據預設，如果 Assured Workloads 建立這個專案，就會在前面加上專案 ID cmek-。

2. 在「安全性」中，前往「金鑰管理」頁面：

   前往「金鑰管理」

3. 在「金鑰環」下方，按一下金鑰環名稱。

4. 在「金鑰環詳細資料」的「金鑰」分頁中，按一下金鑰名稱。

5. 按一下鍵名右側的 more_vert「更多」圖示。

6. 按一下「複製資源名稱」。

   資源字串的格式如下：

    projects/SECURITY_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_NAME/cryptoKeys/KEY_NAME
   

後續步驟

• 瞭解如何遵循金鑰管理的法規要求。
• 瞭解資料加密與加密金鑰。