Auf dieser Seite finden Sie eine Anleitung zum Erstellen einer Richtlinie für vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK).
Eine CMEK-Richtlinie erstellen
Folgen Sie der Anleitung unten, um eine CMEK-Richtlinie mit derGoogle Cloud -Konsole oder der Google Cloud CLI zu erstellen:
Console
Rufen Sie in der Google Cloud Console die Seite NetApp Volumes auf.
Wählen Sie CMEK-Richtlinien aus.
Klicken Sie unter CMEK-Richtlinie erstellen auf Erstellen.
Geben Sie im Feld name einen eindeutigen Namen für die CMEK-Richtlinie ein.
Optional: Fügen Sie im Feld Beschreibung eine Beschreibung hinzu.
Wählen Sie im Feld Region eine Region für die Richtlinie aus.
Wählen Sie einen Cloud KMS-Schlüssel aus den folgenden Optionen aus:
Wählen Sie aus den Cloud KMS-Schlüsseln Ihres Projekts aus, die im Drop-down-Menü angezeigt werden.
Wählen Sie Projekt wechseln aus, wenn Sie in einem anderen Projekt nach einem Cloud KMS-Schlüssel suchen möchten. Sie benötigen
roles/cloudkms.viewerim ausgewählten Projekt, um Schlüssel aufrufen zu können.Wählen Sie Schlüssel manuell eingeben aus, wenn Sie einen Schlüssel manuell eingeben möchten. Das ist hilfreich, wenn Sie nicht berechtigt sind, den Schlüssel nachzuschlagen, den Sie verwenden möchten.
Optional: Fügen Sie im Feld Labels ein Label hinzu.
Klicken Sie auf Erstellen.
Ihre CMEK-Richtlinie wird auf der Seite „CMEK-Richtlinien“ angezeigt. Der Status der Richtlinie hat ein Ausrufezeichen. Das Ausrufezeichen weist darauf hin, dass diese Richtlinie vor der Verwendung überprüft werden muss. Weitere Informationen finden Sie unter Schlüsselzugriff überprüfen.
gcloud
Gehen Sie nach der folgenden Anleitung vor, um mit der Google Cloud CLI eine CMEK-Richtlinie zu erstellen.
Führen Sie den
kms-configs-Befehl mit den folgenden Parametern aus:gcloud netapp kms-configs create CONFIG_NAME \ --project=PROJECT_ID \ --location=LOCATION \ --kms-project=KEY_RING_PROJECT \ --kms-location=KEY_RING_LOCATION \ --kms-keyring=KEY_RING \ --kms-key=KEY_NAME
Ersetzen Sie die folgenden Informationen:
CONFIG_NAME: Der Name der zu erstellenden Konfiguration. Dieser Name muss pro Region eindeutig sein.PROJECT_ID: Der Name des Projekts, in dem Sie die CMEK-Richtlinie erstellen möchten.LOCATION: Die Region, in der die Konfiguration erstellt werden soll. Google Cloud NetApp Volumes unterstützt nur eine Konfiguration pro Region.KEY_RING_PROJECT: die Projekt-ID des Projekts, in dem sich der KMS-Schlüsselbund befindet.KEY_RING_LOCATION: Der Speicherort des KMS-Schlüsselbunds.KEY_RING: der Name des KMS-Schlüsselbunds.KEY_NAME: der Name des KMS-Schlüssels.
Weitere Optionen finden Sie in der Google Cloud SDK-Dokumentation für Cloud Key Management Service.