Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
Nesta página, mostramos como verificar o acesso à chave depois de criar uma política de chave de criptografia gerenciada pelo cliente (CMEK).
Principais casos de uso de verificação de acesso
A qualquer momento, você pode executar novamente a verificação de acesso à chave para identificar problemas com ela:
Desativação da chave: se uma chave for desativada, o acesso aos dados nos volumes será interrompido.
Destruição de chaves: se uma chave for destruída, o acesso aos dados não poderá ser restaurado.
É possível excluir volumes para liberar capacidade. Para mais informações, consulte
Excluir um volume.
Para usar uma chave CMEK, primeiro conceda ao serviço permissão para ler a chave especificada. O NetApp Volumes fornece os comandos corretos da
Google Cloud CLI. Para conceder ao serviço as permissões necessárias da chave do Cloud KMS, crie um papel personalizado em todo o projeto com as permissões adequadas e uma vinculação de papel de chave que vincule o papel personalizado à conta de serviço apropriada. Você precisa das permissões de administrador de papéis
(roles/iam.RoleAdmin) no projeto da sua Conta do Google para
criar o papel personalizado e as permissões de administrador do Cloud KMS (roles/cloudkms.admin)
para conceder acesso do NetApp Volumes à chave.
Console
Use as instruções a seguir para conceder ao serviço permissão para ler uma chave
usando o console Google Cloud .
Acesse a página do NetApp Volumes no console do Google Cloud .
Encontre a política de CMEK que você quer editar e clique no menu Mostrar mais.
Selecione Verificar acesso à chave.
Se você ainda não tiver configurado o acesso à chave, a verificação vai falhar, e a
UI vai mostrar instruções sobre como conceder acesso à chave. Depois de executar os
comandos necessários da Google Cloud CLI, clique em Tentar de novo para executar a verificação
de chave novamente.
Se a verificação for bem-sucedida, uma caixa de diálogo vai aparecer indicando isso. Se a verificação não for bem-sucedida, clique em
Tentar de novo para executar a verificação de chave novamente.
gcloud
Use as instruções a seguir para conceder ao serviço permissão para ler
uma chave usando a Google Cloud CLI.
PROJECT_ID: o ID exclusivo do projeto ao qual você quer
conceder acesso.
LOCATION: a região da configuração.
Se a verificação de chave for bem-sucedida, o comando vai gerar a seguinte mensagem:
healthy:true
Se a verificação da chave falhar, conceda permissões de acesso a ela.
Execute o comando a seguir para identificar os comandos da Google Cloud CLI que concedem acesso à chave de serviço. Você precisa da função cloudkms.admin para executar o seguinte
comando.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-08-17 UTC."],[],[],null,["# Verify key access\n\nThis page provides instructions on how to verify key access after you\ncreate a customer-managed encryption key (CMEK) policy.\n\nKey access verification use cases\n---------------------------------\n\nAt any time, you can rerun key access verification to identify issues with the\nkey:\n\n- **Key disablement**: if a key gets disabled, data access to volumes stops.\n\n- **Key destructions** : if a key is destroyed, access to data is unrestorable.\n You can delete volumes to free up capacity. For more information, see\n [Delete a volume](/netapp/volumes/docs/configure-and-use/volumes/manage-volume#delete_a_volume).\n\n- **Missing permissions** : if permissions are removed, the instructions to\n grant them appear. See [Grant the service permission to read a key](/netapp/volumes/docs/configure-and-use/cmek/verify-key-access#grant_the_service_permission_to_read_a_key).\n\nGrant the service permission to read a key\n------------------------------------------\n\nTo use a CMEK key, you must grant the service permission to read the\nspecified key first. NetApp Volumes provides the correct\nGoogle Cloud CLI commands. To grant the required Cloud KMS key\npermissions to the service, you need to create a project-wide custom role with\nthe appropriate permissions, and then a key role binding that binds the custom\nrole to the appropriate service account. You need the Role Administrator\n(`roles/iam.RoleAdmin`) permissions on the project within your Google Account to\ncreate the custom role and the Cloud KMS Admin (`roles/cloudkms.admin`)\npermissions to grant NetApp Volumes access to the key. \n\n### Console\n\nUse the following instructions to grant the service permission to read a key\nusing the Google Cloud console.\n\n1. Go to the **NetApp Volumes page** in the Google Cloud console.\n\n [Go to NetApp Volumes](https://console.cloud.google.com/netapp/volumes)\n2. Select **CMEK policies**.\n\n3. Find the CMEK policy you want to edit and click the **Show more** menu.\n\n4. Select **Verify key access**.\n\n5. If you haven't configured key access yet, the verification fails and the\n UI shows instructions on how to grant key access. After you run the\n required Google Cloud CLI commands, click **Retry** to run key\n verification again.\n\n If verification is successful, a dialog appears that indicates\n successful verification. If verification is unsuccessful, click\n **Retry** to rerun the key check.\n\n### gcloud\n\nUse the following instructions to grant the service permission to read\na key using Google Cloud CLI.\n\nRun the following `kms-configs verify` command: \n\n```bash\n gcloud netapp kms-configs verify CONFIG_NAME \\\n --project=PROJECT_ID \\\n --location=LOCATION\n```\n\nReplace the following information:\n\n- \u003cvar translate=\"no\"\u003eCONFIG_NAME\u003c/var\u003e: the name of the config.\n\n- \u003cvar translate=\"no\"\u003ePROJECT_ID\u003c/var\u003e: the unique project ID you want to\n grant access for.\n\n- \u003cvar translate=\"no\"\u003eLOCATION\u003c/var\u003e: the region of the config.\n\nIf key verification is successful, the command outputs the following message: \n\n```json\nhealthy: true\n```\n\nIf key verification fails, you have to grant access permissions to the key.\nRun the following command to identify the Google Cloud CLI commands to grant the\nservice key access. You need the `cloudkms.admin` role to run the following\ncommand. \n\n```json\n gcloud netapp kms-configs describe CONFIG_NAME \\\n --project=\u003cvar label=\"project ID\" translate=\"no\"\u003ePROJECT_ID\u003c/var\u003e \\\n --location=\u003cvar label=\"location\" translate=\"no\"\u003eLOCATION\u003c/var\u003e \\\n --format=\"value(instructions)\"\n```\n\nFor more options, see [Google Cloud SDK documentation for Cloud Key Management Service](/sdk/gcloud/reference/netapp/kms-configs).\n\nFor more information, see [Cloud Key Management Service user documentation](/kms/docs/quickstart).\n\nWhat's next\n-----------\n\n[Manage CMEK policies](/netapp/volumes/docs/configure-and-use/cmek/manage-cmek-policy)."]]
