このページでは、顧客管理の暗号鍵(CMEK)ポリシーを作成した後に鍵へのアクセスを確認する方法について説明します。
鍵アクセスの検証のユースケース
キーアクセスの確認はいつでも再実行して、キーの問題を特定できます。
鍵の無効化: 鍵が無効になると、ボリュームへのデータアクセスが停止します。
鍵の破棄: 鍵が破棄されると、データへのアクセスは復元できなくなります。ボリュームを削除して容量を解放できます。ボリュームを削除するをご覧ください。
権限がない: 権限が削除されている場合は、権限を付与する手順が表示されます。鍵の読み取り権限をサービスに付与するをご覧ください。
鍵の読み取り権限をサービスに付与する
CMEK 鍵を使用するには、まず指定された鍵の読み取り権限をサービスに付与する必要があります。NetApp Volumes は、正しい Google Cloud CLI コマンドを指定します。サービスに必要な Cloud KMS 鍵権限を付与するには、適切な権限を持つプロジェクト全体のカスタムロールを作成し、カスタムロールを適切なサービス アカウントにバインドする鍵ロール バインディングを作成する必要があります。カスタムロールを作成するには、Google アカウント内のプロジェクトに対するロール管理者(roles/iam.RoleAdmin)権限が必要です。また、NetApp ボリュームに鍵へのアクセス権を付与するには、Cloud KMS 管理者(roles/cloudkms.admin)権限が必要です。
Console
Google Cloud コンソールを使用して、キーの読み取り権限をサービスに付与する手順は次のとおりです。
Google Cloud コンソールで、[NetApp Volumes ページ] に移動します。
[CMEK ポリシー] を選択します。
編集する CMEK ポリシーを見つけて、[もっと見る] メニューをクリックします。
[鍵へのアクセスを確認する] を選択します。
キー アクセスをまだ構成していない場合、確認は失敗し、UI にキー アクセスを付与する手順が表示されます。必要な Google Cloud CLI コマンドを実行したら、[再試行] をクリックして鍵の検証を再度実行します。
検証が成功すると、検証が成功したことを示すダイアログが表示されます。検証に失敗した場合は、[再試行] をクリックして鍵チェックを再実行します。
gcloud
Google Cloud CLI を使用して鍵の読み取り権限をサービスに付与する手順は次のとおりです。
次の kms-configs verify コマンドを実行します。
gcloud netapp kms-configs verify CONFIG_NAME \ --project=PROJECT_ID \ --location=LOCATION
次の情報を置き換えます。
CONFIG_NAME: 構成の名前。PROJECT_ID: アクセス権を付与する一意のプロジェクト ID。LOCATION: 構成のリージョン。
鍵の検証が成功すると、コマンドは次のメッセージを出力します。
healthy: true
鍵の検証に失敗した場合は、鍵へのアクセス権を付与する必要があります。次のコマンドを実行して、サービスキーにアクセス権を付与する Google Cloud CLI コマンドを確認します。次のコマンドを実行するには、cloudkms.admin ロールが必要です。
gcloud netapp kms-configs describe CONFIG_NAME \ --project=PROJECT_ID \ --location=LOCATION \ --format="value(instructions)"
その他のオプションについては、Cloud Key Management Service の Google Cloud SDK のドキュメントをご覧ください。
詳細については、Cloud Key Management Service ユーザー ドキュメントをご覧ください。