本页面介绍了如何使用客户管理的加密密钥 (CMEK) 来管理 Google Cloud NetApp Volumes。
CMEK 简介
NetApp Volumes 始终使用特定于卷的密钥对数据进行加密。NetApp Volumes 始终会对静态数据进行加密。
借助 CMEK,Cloud Key Management Service 会封装您存储的卷密钥。借助此功能,您可以更好地控制所用的加密密钥,并提高安全性,因为密钥存储在与数据不同的系统或位置中。NetApp Volumes 支持 Cloud Key Management Service 功能,例如硬件安全模块,以及生成、使用、轮替和销毁的完整密钥管理生命周期。
NetApp Volumes 支持每个区域使用一项 CMEK 政策。CMEK 政策会附加到存储池,并且在该池中创建的所有卷都会使用该政策。您可以在一个区域中混合使用具有 CMEK 政策和不具有 CMEK 政策的存储池。如果您在特定区域中拥有不使用 CMEK 的池,则可以使用相应区域的 CMEK 政策的迁移操作将其转换为 CMEK。
我们并不强制要求使用 CMEK。如果使用,CMEK 政策是特定于区域的。每个区域只能配置一项政策。
注意事项
以下部分列出了需要考虑的 CMEK 限制。
密钥管理
如果使用 CMEK,您需要自行负责管理密钥和数据。
Cloud KMS 配置
CMEK 使用对称密钥进行加密和解密。
当项目中的某个区域的所有卷都被删除后,Cloud KMS 配置会恢复为 Ready 创建状态。当您在该区域中创建下一个卷时,系统会再次使用该密钥。
区域密钥环
NetApp Volumes 仅支持区域级 KMS 密钥环,并且这些密钥环需要与 CMEK 政策位于同一区域。
服务等级
CMEK 支持 Flex、Standard、Premium 和 Extreme 服务等级的存储池。
VPC Service Controls
使用 VPC Service Controls 时,请务必考虑 VPC Service Controls 对 NetApp 卷的限制。
CMEK 组织政策
NetApp Volumes 的 CMEK 组织政策可让组织控制数据加密密钥,并限制哪些密钥可用于 CMEK。为此,我们强制要求使用 CMEK 来加密新存储池中的静态数据,并允许组织使用 Cloud KMS 管理加密密钥。组织政策在创建存储池时强制执行,不会影响现有存储池。
组织政策可让管理员在所有项目和资源中应用并强制执行一致的限制。对于管理多个项目和资源的组织,这对于强制执行标准化政策非常重要。
有两类组织政策限制条件可应用于 CMEK:
限制非 CMEK 服务:可让您指定组织、项目或文件夹中的哪些服务可以在没有 CMEK 的情况下进行配置。如果您将某项服务添加到拒绝名单中或在许可名单中排除该服务,则该服务的资源将需要 CMEK。默认情况下,此限制条件允许创建非 CMEK 资源。
限制 CMEK CryptoKey 项目:可让您在组织、项目或文件夹中配置资源时,定义哪些项目可以为 CMEK 提供 KMS 密钥。如果设置了此限制条件,则只有指定项目中的 KMS 密钥可用于受 CMEK 保护的资源。如果未设置限制,则可以使用任何项目的 CryptoKey。
如需详细了解如何应用组织政策,请参阅应用 CMEK 组织政策。
CMEK 选项
NetApp Volumes 支持 CMEK,CMEK 可以作为软件密钥、HSM 集群中的硬件密钥或存储在 Cloud External Key Manager (Cloud EKM) 中的外部密钥进行存储。
如需了解详情,请参阅 Cloud Key Management Service。
EKM 服务中断
外部密钥由第三方管理,Google Google Cloud 不对密钥可用性负责。
如果 External Key Manager (EKM) 通知 Cloud Key Management Service 某个外部密钥无法访问,用户会收到有关该密钥当前状态的详细错误消息。这会导致卷离线,并且对该卷的所有读取和写入操作都会失败。
如果 EKM 无法访问,用户尝试执行以下任何操作时也会收到错误: