本頁說明如何建立客戶自行管理的加密金鑰 (CMEK) 政策後,驗證金鑰存取權。
金鑰存取權驗證用途
您隨時可以重新執行金鑰存取驗證,找出金鑰問題:
停用金鑰:如果金鑰遭到停用,就無法再存取磁碟區中的資料。
金鑰銷毀:如果金鑰遭到銷毀,資料就無法復原。你可以刪除磁碟區來釋出容量。詳情請參閱「刪除磁碟區」。
缺少權限:如果權限遭移除,系統會顯示授予權限的操作說明。請參閱「授予服務讀取金鑰的權限」。
授予服務讀取金鑰的權限
如要使用 CMEK 金鑰,您必須先授予服務讀取指定金鑰的權限。NetApp Volumes 會提供正確的 Google Cloud CLI 指令。如要將必要的 Cloud KMS 金鑰權限授予服務,您必須建立具有適當權限的專案範圍自訂角色,然後建立金鑰角色繫結,將自訂角色繫結至適當的服務帳戶。您必須在 Google 帳戶的專案中具備「角色管理員」(roles/iam.RoleAdmin) 權限,才能建立自訂角色,並具備「Cloud KMS 管理員」(roles/cloudkms.admin) 權限,才能授予 NetApp Volumes 金鑰存取權。
控制台
請按照下列操作說明,使用 Google Cloud 控制台授予服務讀取金鑰的權限。
前往 Google Cloud 控制台的「NetApp Volumes」頁面。
選取「CMEK policies」(客戶自行管理加密金鑰政策)。
找出要編輯的 CMEK 政策,然後按一下「顯示更多」選單。
選取「驗證金鑰存取權」。
如果您尚未設定金鑰存取權,驗證就會失敗,且使用者介面會顯示如何授予金鑰存取權的操作說明。執行必要的 Google Cloud CLI 指令後,請按一下「重試」,再次執行金鑰驗證。
如果驗證成功,系統會顯示對話方塊,指出驗證成功。如果驗證失敗,請按一下「重試」,重新執行金鑰檢查。
gcloud
請按照下列操作說明,使用 Google Cloud CLI 授予服務讀取金鑰的權限。
執行下列 kms-configs verify 指令:
gcloud netapp kms-configs verify CONFIG_NAME \ --project=PROJECT_ID \ --location=LOCATION
請替換下列資訊:
CONFIG_NAME:設定的名稱。PROJECT_ID:您要授予存取權的專屬專案 ID。LOCATION:設定的區域。
如果金鑰驗證成功,指令會輸出下列訊息:
healthy: true
如果金鑰驗證失敗,您必須授予金鑰存取權。
執行下列指令,找出授予服務金鑰存取權的 Google Cloud CLI 指令。您必須具備 cloudkms.admin 角色,才能執行下列指令。
gcloud netapp kms-configs describe CONFIG_NAME \ --project=PROJECT_ID \ --location=LOCATION \ --format="value(instructions)"
如需更多選項,請參閱 Cloud Key Management Service 的 Google Cloud SDK 說明文件。
詳情請參閱 Cloud Key Management Service 使用者說明文件。