Questa pagina fornisce istruzioni su come verificare l'accesso alla chiave dopo aver creato un criterio per le chiavi di crittografia gestite dal cliente (CMEK).
Casi d'uso per la verifica dell'accesso alla chiave
In qualsiasi momento, puoi eseguire di nuovo la verifica dell'accesso alla chiave per identificare problemi con la chiave:
Disattivazione della chiave: se una chiave viene disattivata, l'accesso ai dati dei volumi si interrompe.
Distruzione delle chiavi: se una chiave viene distrutta, l'accesso ai dati non è ripristinabile. Puoi eliminare i volumi per liberare capacità. Per saperne di più, consulta la sezione Eliminare un volume.
Autorizzazioni mancanti: se le autorizzazioni vengono rimosse, vengono visualizzate le istruzioni per concederle. Vedi Concedere al servizio l'autorizzazione a leggere una chiave.
Concedi al servizio l'autorizzazione a leggere una chiave
Per utilizzare una chiave CMEK, devi prima concedere al servizio l'autorizzazione a leggere la chiave specificata. NetApp Volumes fornisce i comandi
Google Cloud CLI corretti. Per concedere al servizio le autorizzazioni richieste per la chiave Cloud KMS, devi creare un ruolo personalizzato a livello di progetto con le autorizzazioni appropriate e poi un binding del ruolo della chiave che associa il ruolo personalizzato al account di servizio appropriato. Per creare il ruolo personalizzato e concedere a NetApp Volumes l'accesso alla chiave, devi disporre delle autorizzazioni Amministratore ruoli (roles/iam.RoleAdmin) per il progetto all'interno del tuo Account Google e delle autorizzazioni Amministratore Cloud KMS (roles/cloudkms.admin).
Console
Utilizza le seguenti istruzioni per concedere al servizio l'autorizzazione a leggere una chiave utilizzando la console Google Cloud .
Vai alla pagina NetApp Volumes nella console Google Cloud .
Seleziona Policy CMEK.
Trova la policy CMEK che vuoi modificare e fai clic sul menu Mostra altro.
Seleziona Verifica accesso chiave.
Se non hai ancora configurato l'accesso alle chiavi, la verifica non va a buon fine e l'interfaccia utente mostra le istruzioni su come concedere l'accesso alle chiavi. Dopo aver eseguito i comandi Google Cloud CLI richiesti, fai clic su Riprova per eseguire di nuovo la verifica della chiave.
Se la verifica va a buon fine, viene visualizzata una finestra di dialogo che indica che la verifica è riuscita. Se la verifica non va a buon fine, fai clic su Riprova per eseguire di nuovo il controllo della chiave.
gcloud
Utilizza le seguenti istruzioni per concedere al servizio l'autorizzazione a leggere una chiave utilizzando Google Cloud CLI.
Esegui questo comando kms-configs verify:
gcloud netapp kms-configs verify CONFIG_NAME \ --project=PROJECT_ID \ --location=LOCATION
Sostituisci le seguenti informazioni:
CONFIG_NAME: il nome della configurazione.PROJECT_ID: l'ID progetto univoco per cui vuoi concedere l'accesso.LOCATION: la regione della configurazione.
Se la verifica della chiave ha esito positivo, il comando restituisce il seguente messaggio:
healthy: true
Se la verifica della chiave non va a buon fine, devi concedere le autorizzazioni di accesso alla chiave.
Esegui questo comando per identificare i comandi Google Cloud CLI per concedere l'accesso alla chiave di servizio. Per eseguire il seguente comando, devi disporre del ruolo cloudkms.admin.
gcloud netapp kms-configs describe CONFIG_NAME \ --project=PROJECT_ID \ --location=LOCATION \ --format="value(instructions)"
Per altre opzioni, consulta la documentazione di Google Cloud SDK per Cloud Key Management Service.
Per saperne di più, consulta la documentazione utente di Cloud Key Management Service.