本頁說明如何使用客戶自行管理的加密金鑰 (CMEK) 管理 Google Cloud NetApp Volumes。
關於 CMEK
NetApp Volumes 一律會使用磁碟區專屬金鑰加密資料。NetApp Volumes 一律會加密靜態資料。
使用 CMEK 時,Cloud Key Management Service 會包裝您儲存的磁碟區金鑰。這項功能可讓您進一步控管使用的加密金鑰,並將金鑰儲存在與資料不同的系統或位置,進一步提升安全性。NetApp Volumes 支援 Cloud Key Management Service 功能,例如硬體安全模組,以及產生、使用、輪替和銷毀等完整金鑰管理生命週期。
每個區域的 NetApp Volumes 支援一項 CMEK 政策。CMEK 政策會附加至儲存空間集區,且該集區中建立的所有磁碟區都會使用這項政策。您可以在一個區域中,同時擁有具備和不具備 CMEK 政策的儲存空間集區。如果特定區域中有不使用 CMEK 的集區,可以透過區域 CMEK 政策的遷移作業,將這些集區轉換為 CMEK。
您可以選擇是否使用 CMEK。如果使用 CMEK 政策,這些政策會專屬於特定區域。每個區域只能設定一項政策。
注意事項
請參閱下列各節,瞭解 CMEK 的限制。
金鑰管理
如果使用 CMEK,您必須全權負責管理金鑰和資料。
Cloud KMS 設定
CMEK 使用對稱金鑰進行加密和解密。刪除專案中某個區域的所有磁碟區後,Cloud KMS 設定會返回 Ready 建立狀態。在該區域中建立下一個磁碟區時,系統會再次使用這個可用區。
區域金鑰環
NetApp Volumes 只支援區域 KMS 金鑰環,且必須與 CMEK 政策位於相同區域。
服務水準
CMEK 支援 Flex、Standard、Premium 和 Extreme 服務等級的儲存空間集區。
VPC Service Controls
使用 VPC Service Controls 時,請務必考量 VPC Service Controls 對 NetApp Volumes 的限制。