En esta página, se proporcionan instrucciones para verificar el acceso a la clave después de crear una política de claves de encriptación administradas por el cliente (CMEK).
Casos de uso clave de la verificación de acceso
En cualquier momento, puedes volver a ejecutar la verificación de acceso a la llave para identificar problemas con ella:
Inhabilitación de la clave: Si se inhabilita una clave, se detiene el acceso a los datos de los volúmenes.
Destrucción de claves: Si se destruye una clave, no se puede restablecer el acceso a los datos. Puedes borrar volúmenes para liberar capacidad. Para obtener más información, consulta Borra un volumen.
Faltan permisos: Si se quitan permisos, aparecerán las instrucciones para otorgarlos. Consulta Cómo otorgar permiso al servicio para leer una clave.
Otorga permiso al servicio para leer una clave
Para usar una clave de CMEK, primero debes otorgar permiso al servicio para leer la clave especificada. NetApp Volumes proporciona los comandos correctos de Google Cloud CLI. Para otorgar los permisos necesarios de la clave de Cloud KMS al servicio, debes crear un rol personalizado para todo el proyecto con los permisos adecuados y, luego, una vinculación de rol de clave que vincule el rol personalizado a la cuenta de servicio adecuada. Necesitas los permisos de administrador de roles (roles/iam.RoleAdmin) en el proyecto dentro de tu Cuenta de Google para crear el rol personalizado y los permisos de administrador de Cloud KMS (roles/cloudkms.admin) para otorgar acceso a NetApp Volumes a la clave.
Console
Sigue estas instrucciones para otorgar permiso al servicio para leer una clave con la consola de Google Cloud .
Ve a la página NetApp Volumes en la consola Google Cloud .
Selecciona Políticas de CMEK.
Busca la política de CMEK que deseas editar y haz clic en el menú Mostrar más.
Selecciona Verificar el acceso a la clave.
Si aún no configuraste el acceso a la llave, la verificación fallará y la IU mostrará instrucciones para otorgar acceso a la llave. Después de ejecutar los comandos necesarios de Google Cloud CLI, haz clic en Volver a intentar para volver a ejecutar la verificación de la clave.
Si la verificación se realiza correctamente, aparecerá un diálogo que lo indicará. Si la verificación no se realiza correctamente, haz clic en Reintentar para volver a ejecutar la verificación de la clave.
gcloud
Sigue las instrucciones que se indican a continuación para otorgar permiso al servicio para leer una clave con Google Cloud CLI.
Ejecuta el siguiente comando kms-configs verify:
gcloud netapp kms-configs verify CONFIG_NAME \ --project=PROJECT_ID \ --location=LOCATION
Reemplaza la siguiente información:
CONFIG_NAME: Es el nombre de la configuración.PROJECT_ID: Es el ID del proyecto único para el que deseas otorgar acceso.LOCATION: Es la región de la configuración.
Si la verificación de la clave se realiza correctamente, el comando mostrará el siguiente mensaje:
healthy: true
Si falla la verificación de la clave, debes otorgar permisos de acceso a la clave.
Ejecuta el siguiente comando para identificar los comandos de Google Cloud CLI que otorgan acceso a la clave de servicio. Necesitas el rol de cloudkms.admin para ejecutar el siguiente comando.
gcloud netapp kms-configs describe CONFIG_NAME \ --project=PROJECT_ID \ --location=LOCATION \ --format="value(instructions)"
Para obtener más opciones, consulta la documentación del SDK de Google Cloud para Cloud Key Management Service.
Para obtener más información, consulta la documentación del usuario de Cloud Key Management Service.
¿Qué sigue?
Administra las políticas de CMEK.