Membuat kebijakan CMEK

Halaman ini memberikan petunjuk tentang cara membuat kebijakan kunci enkripsi yang dikelola pelanggan (CMEK).

Membuat kebijakan CMEK

Gunakan petunjuk berikut untuk membuat kebijakan CMEK menggunakan Google Cloud konsol atau Google Cloud CLI:

Konsol

  1. Buka halaman NetApp Volumes di konsol Google Cloud .

    Buka NetApp Volumes

  2. Pilih CMEK policies.

  3. Di bagian Buat kebijakan CMEK, klik Buat.

  4. Masukkan nama unik di kolom name untuk kebijakan CMEK.

  5. Opsional: Tambahkan deskripsi di kolom deskripsi.

  6. Pilih region dari kolom region untuk kebijakan.

  7. Pilih kunci Cloud KMS dari opsi berikut:

    • Pilih kunci Cloud KMS dari project Anda yang muncul di menu drop-down.

    • Pilih Ganti project jika Anda ingin mencari kunci Cloud KMS di project lain. Anda memerlukan roles/cloudkms.viewer di project yang dipilih untuk dapat menjelajahi kunci.

    • Pilih Masukkan kunci secara manual jika Anda ingin memasukkan kunci secara manual. Hal ini berguna jika Anda tidak memiliki izin untuk mencari kunci yang ingin Anda gunakan.

  8. Opsional: Tambahkan label di kolom labels.

  9. Klik Buat.

Kebijakan CMEK Anda akan muncul di halaman kebijakan CMEK. Status kebijakan memiliki tanda seru . Tanda seru menunjukkan bahwa kebijakan ini perlu diverifikasi sebelum dapat digunakan. Untuk mengetahui informasi selengkapnya, lihat Memverifikasi akses kunci.

gcloud

Gunakan petunjuk berikut untuk membuat kebijakan CMEK menggunakan Google Cloud CLI.

  1. Jalankan perintah kms-configs dengan parameter berikut:

    gcloud netapp kms-configs create CONFIG_NAME \
 --project=PROJECT_ID \
 --location=LOCATION \
 --kms-project=KEY_RING_PROJECT \
 --kms-location=KEY_RING_LOCATION \
 --kms-keyring=KEY_RING \
 --kms-key=KEY_NAME

Ganti informasi berikut:

  • CONFIG_NAME: nama konfigurasi yang akan dibuat. Nama ini harus unik per region.

  • PROJECT_ID: nama project tempat Anda ingin membuat kebijakan CMEK.

  • LOCATION: region tempat konfigurasi akan dibuat. Google Cloud NetApp Volumes hanya mendukung satu konfigurasi per region.

  • KEY_RING_PROJECT: project ID project yang menghosting key ring KMS.

  • KEY_RING_LOCATION: lokasi key ring KMS.

  • KEY_RING: nama key ring KMS.

  • KEY_NAME: nama kunci KMS.

Untuk opsi lainnya, lihat dokumentasi Google Cloud SDK untuk Cloud Key Management Service.

Langkah berikutnya

Memverifikasi akses kunci.