En esta página se explica cómo verificar el acceso a las claves después de crear una política de claves de cifrado gestionadas por el cliente (CMEK).
Casos prácticos clave de verificación de acceso
Puedes volver a ejecutar la verificación del acceso con llave en cualquier momento para identificar problemas con la llave:
Inhabilitación de claves: si se inhabilita una clave, se detiene el acceso a los datos de los volúmenes.
Destrucción de claves: si se destruye una clave, no se podrá restaurar el acceso a los datos. Puedes eliminar volúmenes para liberar capacidad. Para obtener más información, consulta Eliminar un volumen.
Faltan permisos: si se quitan permisos, aparecen las instrucciones para concederlos. Consulta Conceder al servicio permiso para leer una clave.
Conceder al servicio permiso para leer una clave
Para usar una clave CMEK, primero debes conceder al servicio permiso para leer la clave especificada. NetApp Volumes proporciona los comandos de Google Cloud CLI correctos. Para conceder los permisos de clave de Cloud KMS necesarios al servicio, debes crear un rol personalizado en todo el proyecto con los permisos adecuados y, a continuación, una vinculación de rol de clave que vincule el rol personalizado a la cuenta de servicio adecuada. Necesitas los permisos de administrador de roles (roles/iam.RoleAdmin) en el proyecto de tu cuenta de Google para crear el rol personalizado y los permisos de administrador de Cloud KMS (roles/cloudkms.admin) para conceder acceso a la clave a los volúmenes de NetApp.
Consola
Sigue estas instrucciones para conceder al servicio permiso para leer una clave mediante la consola Google Cloud .
Ve a la página de volúmenes de NetApp en la consola de Google Cloud .
Selecciona Políticas de CMEK.
Busca la política de CMEK que quieras editar y haz clic en el menú Mostrar más.
Selecciona Verificar acceso con llave.
Si aún no has configurado el acceso con llave, la verificación fallará y la interfaz de usuario mostrará instrucciones sobre cómo conceder acceso con llave. Después de ejecutar los comandos necesarios de la CLI de Google Cloud, haz clic en Reintentar para volver a ejecutar la verificación de la clave.
Si la verificación se realiza correctamente, aparece un cuadro de diálogo que indica que la verificación se ha completado correctamente. Si no se puede realizar la verificación, haz clic en Reintentar para volver a ejecutar la comprobación de la clave.
gcloud
Sigue estas instrucciones para conceder al servicio permiso para leer una clave mediante la CLI de Google Cloud.
Ejecuta el siguiente comando kms-configs verify:
gcloud netapp kms-configs verify CONFIG_NAME \ --project=PROJECT_ID \ --location=LOCATION
Sustituye la siguiente información:
CONFIG_NAME: el nombre de la configuración.PROJECT_ID: el ID de proyecto único al que quieres conceder acceso.LOCATION: la región de la configuración.
Si la verificación de la clave se realiza correctamente, el comando muestra el siguiente mensaje:
healthy: true
Si no se puede verificar la clave, debes conceder permisos de acceso a la clave.
Ejecuta el siguiente comando para identificar los comandos de la CLI de Google Cloud que permiten conceder acceso a la clave de servicio. Necesita el rol cloudkms.admin para ejecutar el siguiente comando.
gcloud netapp kms-configs describe CONFIG_NAME \ --project=PROJECT_ID \ --location=LOCATION \ --format="value(instructions)"
Para ver más opciones, consulta la documentación del SDK de Google Cloud sobre Cloud Key Management Service.
Para obtener más información, consulta la documentación para usuarios de Cloud Key Management Service.