이 페이지에서는 고객 관리 암호화 키 (CMEK) 정책을 만든 후 키 액세스를 확인하는 방법을 설명합니다.
키 액세스 확인 사용 사례
언제든지 키 액세스 확인을 다시 실행하여 키 관련 문제를 확인할 수 있습니다.
키 사용 중지: 키가 사용 중지되면 볼륨에 대한 데이터 액세스가 중지됩니다.
키 삭제: 키가 삭제되면 데이터에 액세스할 수 없습니다. 볼륨을 삭제하여 용량을 확보할 수 있습니다. 볼륨 삭제를 참고하세요.
권한 없음: 권한이 삭제되면 권한을 부여하는 안내가 표시됩니다. 키 읽기 권한을 서비스에 부여를 참고하세요.
키 읽기 권한을 서비스에 부여
CMEK 키를 사용하려면 먼저 지정된 키를 읽을 수 있는 권한을 서비스에 부여해야 합니다. NetApp Volumes는 올바른 Google Cloud CLI 명령어를 제공합니다. 서비스에 필요한 Cloud KMS 키 권한을 부여하려면 적절한 권한이 있는 프로젝트 전반의 맞춤 역할을 만든 다음 맞춤 역할을 적절한 서비스 계정에 바인딩하는 키 역할 바인딩을 만들어야 합니다. 맞춤 역할을 만들려면 Google 계정 내 프로젝트에 대한 역할 관리자(roles/iam.RoleAdmin) 권한이 필요하고 NetApp 볼륨에 키에 대한 액세스 권한을 부여하려면 Cloud KMS 관리자 (roles/cloudkms.admin) 권한이 필요합니다.
콘솔
다음 안내에 따라 Google Cloud 콘솔을 사용하여 키를 읽을 수 있는 권한을 서비스에 부여합니다.
Google Cloud 콘솔에서 NetApp 볼륨 페이지로 이동합니다.
CMEK 정책을 선택합니다.
수정할 CMEK 정책을 찾아 더보기 메뉴를 클릭합니다.
키 액세스 인증을 선택합니다.
아직 키 액세스를 구성하지 않은 경우 확인에 실패하고 UI에 키 액세스 권한을 부여하는 방법에 관한 안내가 표시됩니다. 필요한 Google Cloud CLI 명령어를 실행한 후 다시 시도를 클릭하여 키 확인을 다시 실행합니다.
인증에 성공하면 인증 성공을 나타내는 대화상자가 표시됩니다. 인증에 실패하면 다시 시도를 클릭하여 키 확인을 다시 실행합니다.
gcloud
다음 안내에 따라 Google Cloud CLI를 사용하여 키를 읽을 수 있는 권한을 서비스에 부여합니다.
다음 kms-configs verify 명령어를 실행합니다.
gcloud netapp kms-configs verify CONFIG_NAME \ --project=PROJECT_ID \ --location=LOCATION
다음 정보를 바꿉니다.
CONFIG_NAME: 구성의 이름입니다.PROJECT_ID: 액세스 권한을 부여할 고유한 프로젝트 ID입니다.LOCATION: 구성의 리전입니다.
키 확인에 성공하면 명령어는 다음 메시지를 출력합니다.
healthy: true
키 확인에 실패하면 키에 대한 액세스 권한을 부여해야 합니다.
다음 명령어를 실행하여 서비스 키 액세스 권한을 부여할 Google Cloud CLI 명령어를 식별합니다. 다음 명령어를 실행하려면 cloudkms.admin 역할이 필요합니다.
gcloud netapp kms-configs describe CONFIG_NAME \ --project=PROJECT_ID \ --location=LOCATION \ --format="value(instructions)"
자세한 옵션은 Cloud Key Management Service용 Google Cloud SDK 문서를 참고하세요.
자세한 내용은 Cloud Key Management Service 사용자 문서를 참고하세요.