创建 CMEK 政策

控制台

1. 前往 Google Cloud 控制台中的 NetApp Volumes 页面。

   转到“NetApp Volumes”

2. 选择 CMEK 政策。

3. 在创建 CMEK 政策下，点击创建。

4. 在 name 字段中，为 CMEK 政策输入一个唯一的名称。

5. 可选：在说明字段中添加说明。

6. 从政策的地区字段中选择一个区域。

7. 从以下选项中选择一个 Cloud KMS 密钥：

   • 从下拉菜单中显示的项目中选择 Cloud KMS 密钥。

   • 如果您想在其他项目中查找 Cloud KMS 密钥，请选择切换项目。您需要在所选项目中拥有 roles/cloudkms.viewer 才能浏览密钥。

   • 如果您想手动输入密钥，请选择手动输入密钥。 如果您无权查找要使用的密钥，此方法会很有帮助。

8. 可选：在标签字段中添加标签。

9. 点击创建。

您的 CMEK 政策会显示在“CMEK 政策”页面上。政策的状态带有感叹号。感叹号表示此政策需要先经过验证才能使用。如需了解详情，请参阅验证密钥访问权限。

gcloud

请按照以下说明使用 Google Cloud CLI 创建 CMEK 政策。

1. 运行 kms-configs 命令，并使用以下参数：

   gcloud netapp kms-configs create CONFIG_NAME \
    --project=PROJECT_ID \
    --location=LOCATION \
    --kms-project=KEY_RING_PROJECT \
    --kms-location=KEY_RING_LOCATION \
    --kms-keyring=KEY_RING \
    --kms-key=KEY_NAME

替换以下信息：

• CONFIG_NAME：要创建的配置的名称。 此名称在每个区域中必须是唯一的。

• PROJECT_ID：您要在其中创建 CMEK 政策的项目的名称。

• LOCATION：要创建的配置所在的区域。Google Cloud NetApp Volumes 仅支持每个区域一种配置。

• KEY_RING_PROJECT：托管 KMS 密钥环的项目的项目 ID。

• KEY_RING_LOCATION：KMS 密钥环的位置。

• KEY_RING：KMS 密钥环的名称。

• KEY_NAME：KMS 密钥的名称。

如需了解更多选项，请参阅 Google Cloud SDK 文档（针对 Cloud Key Management Service）。