このページでは、顧客管理の暗号鍵(CMEK)ポリシーを作成した後に鍵へのアクセスを確認する方法について説明します。
キー アクセスの検証のユースケース
いつでもキー アクセスの検証を再実行して、キーの問題を特定できます。
鍵の無効化: 鍵が無効になると、ボリュームへのデータアクセスが停止します。
鍵の破棄: 鍵が破棄されると、データへのアクセスは復元できません。ボリュームを削除して容量を解放できます。詳細については、ボリュームを削除するをご覧ください。
権限がない: 権限が削除された場合は、権限を付与する手順が表示されます。鍵を読み取るサービス権限を付与するをご覧ください。
鍵を読み取る権限をサービスに付与する
CMEK 鍵を使用するには、まず指定された鍵を読み取る権限をサービスに付与する必要があります。NetApp Volumes は、正しい Google Cloud CLI コマンドを提供します。サービスに必要な Cloud KMS 鍵の権限を付与するには、適切な権限を持つプロジェクト全体のカスタムロールを作成し、そのカスタムロールを適切なサービス アカウントにバインドする鍵ロール バインディングを作成する必要があります。カスタムロールを作成するには、Google アカウント内のプロジェクトに対するロール管理者(roles/iam.RoleAdmin)権限が必要です。NetApp Volumes に鍵へのアクセス権を付与するには、Cloud KMS 管理者(roles/cloudkms.admin)権限が必要です。
コンソール
Google Cloud コンソールを使用して、キーを読み取るサービス権限を付与する手順は次のとおりです。
Google Cloud コンソールで、[NetApp Volumes] ページに移動します。
[CMEK ポリシー] を選択します。
編集する CMEK ポリシーを見つけて、[詳細を表示] メニューをクリックします。
[鍵へのアクセスを確認] を選択します。
キー アクセスをまだ構成していない場合、検証は失敗し、キー アクセスを付与する手順が UI に表示されます。必要な Google Cloud CLI コマンドを実行したら、[再試行] をクリックして鍵の検証を再度実行します。
検証が成功すると、検証が成功したことを示すダイアログが表示されます。検証に失敗した場合は、[再試行] をクリックしてキーチェックを再実行します。
gcloud
次の手順に沿って、Google Cloud CLI を使用して鍵を読み取る権限をサービスに付与します。
次の kms-configs verify コマンドを実行します。
gcloud netapp kms-configs verify CONFIG_NAME \ --project=PROJECT_ID \ --location=LOCATION
次の情報を置き換えます。
CONFIG_NAME: 構成の名前。PROJECT_ID: アクセス権を付与する一意のプロジェクト ID。LOCATION: 構成のリージョン。
鍵の検証が成功すると、コマンドは次のメッセージを出力します。
healthy: true
鍵の確認に失敗した場合は、鍵にアクセス権を付与する必要があります。次のコマンドを実行して、サービスキーにアクセス権を付与する Google Cloud CLI コマンドを特定します。次のコマンドを実行するには、cloudkms.admin ロールが必要です。
gcloud netapp kms-configs describe CONFIG_NAME \ --project=PROJECT_ID \ --location=LOCATION \ --format="value(instructions)"
その他のオプションについては、Cloud Key Management Service の Google Cloud SDK ドキュメントをご覧ください。
詳細については、Cloud Key Management Service のユーザー ドキュメントをご覧ください。