Mit Sammlungen den Überblick behalten
Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.
Auf dieser Seite finden Sie eine Anleitung dazu, wie Sie den Schlüsselzugriff überprüfen, nachdem Sie eine Richtlinie für vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) erstellt haben.
Anwendungsfälle für die Schlüsselzugriffsbestätigung
Sie können die Schlüsselzugriffsüberprüfung jederzeit noch einmal ausführen, um Probleme mit dem Schlüssel zu ermitteln:
Deaktivierung von Schlüsseln: Wenn ein Schlüssel deaktiviert wird, wird der Datenzugriff auf Volumes beendet.
Löschen von Schlüsseln: Wenn ein Schlüssel gelöscht wird, kann der Zugriff auf Daten nicht wiederhergestellt werden.
Sie können Volumes löschen, um Kapazität freizugeben. Weitere Informationen finden Sie unter Volume löschen.
Dienst die Berechtigung zum Lesen eines Schlüssels erteilen
Wenn Sie einen CMEK-Schlüssel verwenden möchten, müssen Sie dem Dienst zuerst die Berechtigung zum Lesen des angegebenen Schlüssels erteilen. NetApp Volumes stellt die richtigen Google Cloud CLI-Befehle bereit. Um dem Dienst die erforderlichen Cloud KMS-Schlüsselberechtigungen zu gewähren, müssen Sie eine projektweite benutzerdefinierte Rolle mit den entsprechenden Berechtigungen und dann eine Schlüsselrollenbindung erstellen, die die benutzerdefinierte Rolle an das entsprechende Dienstkonto bindet. Sie benötigen die Berechtigungen des Rollenadministrators (roles/iam.RoleAdmin) für das Projekt in Ihrem Google-Konto, um die benutzerdefinierte Rolle zu erstellen, und die Berechtigungen des Cloud KMS-Administrators (roles/cloudkms.admin), um NetApp Volumes Zugriff auf den Schlüssel zu gewähren.
Console
Folgen Sie der Anleitung unten, um dem Dienst die Berechtigung zu erteilen, einen Schlüssel mit der Google Cloud -Konsole zu lesen.
Rufen Sie in der Google Cloud Console die Seite NetApp Volumes auf.
Suchen Sie die CMEK-Richtlinie, die Sie bearbeiten möchten, und klicken Sie auf das Menü Mehr anzeigen.
Wählen Sie Schlüsselzugriff überprüfen aus.
Wenn Sie den Schlüsselzugriff noch nicht konfiguriert haben, schlägt die Überprüfung fehl und in der Benutzeroberfläche wird eine Anleitung zum Gewähren des Schlüsselzugriffs angezeigt. Nachdem Sie die erforderlichen Google Cloud CLI-Befehle ausgeführt haben, klicken Sie auf Nochmal versuchen, um die Schlüsselüberprüfung noch einmal auszuführen.
Wenn die Bestätigung erfolgreich ist, wird ein Dialogfeld mit einer entsprechenden Meldung angezeigt. Wenn die Bestätigung fehlschlägt, klicken Sie auf Wiederholen, um die Schlüsselprüfung noch einmal auszuführen.
gcloud
Folgen Sie der Anleitung unten, um dem Dienst die Berechtigung zum Lesen eines Schlüssels mit der Google Cloud CLI zu gewähren.
Führen Sie folgenden Befehl kms-configs verify aus:
PROJECT_ID: die eindeutige Projekt-ID, für die Sie Zugriff gewähren möchten.
LOCATION: die Region der Konfiguration.
Wenn die Schlüsselprüfung erfolgreich ist, gibt der Befehl die folgende Meldung aus:
healthy:true
Wenn die Schlüsselbestätigung fehlschlägt, müssen Sie dem Schlüssel Zugriffsberechtigungen gewähren.
Führen Sie den folgenden Befehl aus, um die Google Cloud CLI-Befehle zum Gewähren des Dienstschlüsselzugriffs zu ermitteln. Sie benötigen die Rolle cloudkms.admin, um den folgenden Befehl auszuführen.
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-08-17 (UTC)."],[],[],null,["# Verify key access\n\nThis page provides instructions on how to verify key access after you\ncreate a customer-managed encryption key (CMEK) policy.\n\nKey access verification use cases\n---------------------------------\n\nAt any time, you can rerun key access verification to identify issues with the\nkey:\n\n- **Key disablement**: if a key gets disabled, data access to volumes stops.\n\n- **Key destructions** : if a key is destroyed, access to data is unrestorable.\n You can delete volumes to free up capacity. For more information, see\n [Delete a volume](/netapp/volumes/docs/configure-and-use/volumes/manage-volume#delete_a_volume).\n\n- **Missing permissions** : if permissions are removed, the instructions to\n grant them appear. See [Grant the service permission to read a key](/netapp/volumes/docs/configure-and-use/cmek/verify-key-access#grant_the_service_permission_to_read_a_key).\n\nGrant the service permission to read a key\n------------------------------------------\n\nTo use a CMEK key, you must grant the service permission to read the\nspecified key first. NetApp Volumes provides the correct\nGoogle Cloud CLI commands. To grant the required Cloud KMS key\npermissions to the service, you need to create a project-wide custom role with\nthe appropriate permissions, and then a key role binding that binds the custom\nrole to the appropriate service account. You need the Role Administrator\n(`roles/iam.RoleAdmin`) permissions on the project within your Google Account to\ncreate the custom role and the Cloud KMS Admin (`roles/cloudkms.admin`)\npermissions to grant NetApp Volumes access to the key. \n\n### Console\n\nUse the following instructions to grant the service permission to read a key\nusing the Google Cloud console.\n\n1. Go to the **NetApp Volumes page** in the Google Cloud console.\n\n [Go to NetApp Volumes](https://console.cloud.google.com/netapp/volumes)\n2. Select **CMEK policies**.\n\n3. Find the CMEK policy you want to edit and click the **Show more** menu.\n\n4. Select **Verify key access**.\n\n5. If you haven't configured key access yet, the verification fails and the\n UI shows instructions on how to grant key access. After you run the\n required Google Cloud CLI commands, click **Retry** to run key\n verification again.\n\n If verification is successful, a dialog appears that indicates\n successful verification. If verification is unsuccessful, click\n **Retry** to rerun the key check.\n\n### gcloud\n\nUse the following instructions to grant the service permission to read\na key using Google Cloud CLI.\n\nRun the following `kms-configs verify` command: \n\n```bash\n gcloud netapp kms-configs verify CONFIG_NAME \\\n --project=PROJECT_ID \\\n --location=LOCATION\n```\n\nReplace the following information:\n\n- \u003cvar translate=\"no\"\u003eCONFIG_NAME\u003c/var\u003e: the name of the config.\n\n- \u003cvar translate=\"no\"\u003ePROJECT_ID\u003c/var\u003e: the unique project ID you want to\n grant access for.\n\n- \u003cvar translate=\"no\"\u003eLOCATION\u003c/var\u003e: the region of the config.\n\nIf key verification is successful, the command outputs the following message: \n\n```json\nhealthy: true\n```\n\nIf key verification fails, you have to grant access permissions to the key.\nRun the following command to identify the Google Cloud CLI commands to grant the\nservice key access. You need the `cloudkms.admin` role to run the following\ncommand. \n\n```json\n gcloud netapp kms-configs describe CONFIG_NAME \\\n --project=\u003cvar label=\"project ID\" translate=\"no\"\u003ePROJECT_ID\u003c/var\u003e \\\n --location=\u003cvar label=\"location\" translate=\"no\"\u003eLOCATION\u003c/var\u003e \\\n --format=\"value(instructions)\"\n```\n\nFor more options, see [Google Cloud SDK documentation for Cloud Key Management Service](/sdk/gcloud/reference/netapp/kms-configs).\n\nFor more information, see [Cloud Key Management Service user documentation](/kms/docs/quickstart).\n\nWhat's next\n-----------\n\n[Manage CMEK policies](/netapp/volumes/docs/configure-and-use/cmek/manage-cmek-policy)."]]
