建立 CMEK 政策

控制台

1. 前往 Google Cloud 控制台的「NetApp Volumes」頁面。

   前往 NetApp Volumes

2. 選取「CMEK policies」(客戶自行管理加密金鑰政策)。

3. 在「建立 CMEK 政策」下方，按一下「建立」。

4. 在「name」欄位中，輸入 CMEK 政策的專屬名稱。

5. 選用：在「說明」欄位中新增說明。

6. 在政策的「區域」欄位中選取區域。

7. 從下列選項中選取 Cloud KMS 金鑰：

   • 從下拉式選單中，選擇專案的 Cloud KMS 金鑰。

   • 如要在其他專案中尋找 Cloud KMS 金鑰，請選取「切換專案」。您必須在所選專案中擁有 roles/cloudkms.viewer，才能瀏覽金鑰。

   • 如要手動輸入金鑰，請選取「手動輸入金鑰」。 如果您沒有權限查閱要使用的金鑰，這項功能就非常實用。

8. 選用：在「標籤」欄位中新增標籤。

9. 點選「建立」。

CMEK 政策會顯示在 CMEK 政策頁面上。政策狀態有驚嘆號。驚嘆號表示這項政策需要驗證才能使用。詳情請參閱「驗證金鑰存取權」。

gcloud

請按照下列操作說明，使用 Google Cloud CLI 建立 CMEK 政策。

1. 使用下列參數執行 kms-configs 指令：

   gcloud netapp kms-configs create CONFIG_NAME \
    --project=PROJECT_ID \
    --location=LOCATION \
    --kms-project=KEY_RING_PROJECT \
    --kms-location=KEY_RING_LOCATION \
    --kms-keyring=KEY_RING \
    --kms-key=KEY_NAME

請替換下列資訊：

• CONFIG_NAME：要建立的設定名稱。 每個區域的名稱不得重複。

• PROJECT_ID：要在其中建立 CMEK 政策的專案名稱。

• LOCATION：要建立設定的區域。每個區域僅支援一個設定。

• KEY_RING_PROJECT：代管 KMS 金鑰環的專案 ID。

• KEY_RING_LOCATION：KMS 金鑰環的位置。

• KEY_RING：KMS 金鑰環的名稱。

• KEY_NAME：KMS 金鑰的名稱。

如需更多選項，請參閱 Cloud Key Management Service 的 Google Cloud SDK 說明文件。