Créer une stratégie CMEK

Cette page explique comment créer une stratégie de clé de chiffrement gérée par le client (CMEK).

Créer une stratégie CMEK

Suivez les instructions ci-dessous pour créer une règle CMEK à l'aide de la consoleGoogle Cloud ou de Google Cloud CLI :

Console

  1. Accédez à la page NetApp Volumes dans la console Google Cloud .

    Accéder à NetApp Volumes

  2. Sélectionnez Règles CMEK.

  3. Sous Créer une stratégie CMEK, cliquez sur Créer.

  4. Saisissez un nom unique pour la règle CMEK dans le champ Nom.

  5. Facultatif : ajoutez une description dans le champ Description.

  6. Sélectionnez une région dans le champ Région pour le règlement.

  7. Sélectionnez une clé Cloud KMS parmi les options suivantes :

    • Choisissez parmi les clés Cloud KMS de votre projet qui apparaissent dans le menu déroulant.

    • Sélectionnez Changer de projet si vous souhaitez rechercher une clé Cloud KMS dans un autre projet. Vous devez disposer de roles/cloudkms.viewer dans le projet sélectionné pour pouvoir parcourir les clés.

    • Sélectionnez Saisir la clé manuellement si vous souhaitez saisir une clé manuellement. Cela peut être utile si vous ne disposez pas des autorisations nécessaires pour rechercher la clé que vous souhaitez utiliser.

  8. Facultatif : Ajoutez un libellé dans le champ Libellés.

  9. Cliquez sur Créer.

Votre stratégie CMEK s'affiche sur la page "Stratégies CMEK". L'état du règlement est indiqué par un point d'exclamation. Le point d'exclamation indique que cette règle doit être validée avant de pouvoir être utilisée. Pour en savoir plus, consultez Vérifier l'accès aux clés.

gcloud

Suivez les instructions ci-dessous pour créer une règle CMEK à l'aide de Google Cloud CLI.

  1. Exécutez la commande kms-configs avec les paramètres suivants :

    gcloud netapp kms-configs create CONFIG_NAME \
 --project=PROJECT_ID \
 --location=LOCATION \
 --kms-project=KEY_RING_PROJECT \
 --kms-location=KEY_RING_LOCATION \
 --kms-keyring=KEY_RING \
 --kms-key=KEY_NAME

Remplacez les informations suivantes :

  • CONFIG_NAME : nom de la configuration à créer. Ce nom doit être unique par région.

  • PROJECT_ID : nom du projet dans lequel vous souhaitez créer la règle CMEK.

  • LOCATION : région dans laquelle la configuration doit être créée. Google Cloud NetApp Volumes n'accepte qu'une seule configuration par région.

  • KEY_RING_PROJECT : ID du projet hébergeant le trousseau de clés KMS.

  • KEY_RING_LOCATION : emplacement du trousseau de clés KMS.

  • KEY_RING : nom du trousseau de clés KMS.

  • KEY_NAME : nom de la clé KMS.

Pour plus d'options, consultez la documentation du SDK Google Cloud pour Cloud Key Management Service.

Étapes suivantes

Validez l'accès aux clés.