配置customer-managed鍵使用API

步驟1:創建或選擇一個關鍵在雲公裏

1. 創建或選擇一個對稱密鑰在雲公裏以下的指令創建一個對稱加密密鑰。

   重要的

   雲公裏鍵必須是在同一地區作為你的工作區。

2. 複製資源名稱公裏的關鍵。

步驟2:為你的服務帳戶權限授予(- 2)

你必須讓你的主要服務帳戶(2)雲公裏查看器作用在雲公裏你的關鍵。

1. 在穀歌雲控製台,去密鑰管理頁麵。

2. 單擊您的密鑰環的名稱。

3. 點擊你的關鍵。

4. 單擊權限選項卡。

5. 點擊授權訪問。

6. 在添加主體,選擇你的主要服務帳戶。

7. 在分配角色,選擇雲公裏查看器的角色。

   也使用此服務帳戶創建工作區使用加密密鑰配置,您必須指定服務帳戶雲公裏管理的角色。這個角色包括getIamPolicy和setIamPolicy權限,這是必要的,使訪問公裏磚使用的穀歌雲服務的關鍵,如GCS水桶,全球教育運動,GKE。

8. 點擊保存。

您還可以使用雲服務帳戶角色授予公裏API,明白了雲公裏訪問控製。

步驟3:Get API認證令牌

工作區創建端點客戶管理關鍵API的需要憑證透傳。調用此API必須遵循指令憑證透傳創建以下:

• Token-creating服務帳戶(SA-1)

• 主要服務帳戶磚REST api (- 2)

• 穀歌標識牌

• 穀歌OAuth訪問令牌(api要求所需憑證透傳)

身份驗證令牌的使用壽命有限。如果你不準備完成後麵的步驟在這篇文章中,您可能希望等到你準備好之前完成這一步。

步驟4:創建一個新的關鍵配置

您可以使用磚api來創建一個新的加密密鑰配置。API參考信息,請參閱賬戶關鍵配置API。

創建一個新的加密密鑰配置使用API調用的方法/ 2.0 /賬戶/ <帳戶id > / customer-managed-keysREST端點使用公裏的關鍵。

API參考文檔,請參閱賬戶關鍵配置API。

用例的數組use_cases字段必須包含一個或兩個以下:

• 存儲:看Customer-managed密鑰管理服務

• MANAGED_SERVICES:看Customer-managed鍵工作區存儲

例如:

旋度\- x的帖子\——頭“授權:無記名< google-id-token >”\——頭“X-Databricks-GCP-SA-Access-Token: < access-token-sa-2 >”\https://accounts.gcp.m.eheci.com/api/2.0/accounts/ <帳戶id > / customer-managed-keys - d”{" gcp_key_info ": {:“resource_name < key-resource-name >”},“use_cases”:(“存儲”,“MANAGED_SERVICES”]}'

替換:

• <帳戶id >你的磚帳戶ID。

• < google-id-token >上麵創建的Google ID標記。

• < access-token-sa-2 >上麵創建的Google OAuth訪問令牌你。

• < key-resource-name >與雲的資源名公裏的關鍵。

這生成一個響應類似於:

{“customer_managed_key_id”:“< customer-managed-key-id >”,“account_id”:“<帳戶id >”,“gcp_key_info”:{“kms_key_id”:“< key-resource-name >”},“creation_time”:1667583992464,“use_cases”:(“存儲”,“MANAGED_SERVICES”]}

複製customer-managed-key-id從響應。

第五步:創建一個新的工作區

您可以使用磚api來創建一個新的工作區使用加密密鑰配置。API參考信息,請參閱賬戶關鍵配置API。

創建一個工作空間,你的主要服務帳戶(2)必須獲得所有必要的項目權限創建穀歌雲工作區。看到需要用戶權限或服務帳戶權限創建工作區。

創建工作區使用公裏密鑰進行加密,您還必須授予你的主要服務帳戶(2)雲公裏管理作用在雲公裏你的關鍵。看到步驟2:為你的服務帳戶權限授予(- 2)。

使用API來創建一個新的工作區,調用的方法/ 2.0 /賬戶/ <帳戶id > /工作區REST端點使用customer-managed-key-id從上麵。

API參考文檔,請參閱工作區創建API。

設置請求參數customer-managed鍵根據用例配置的關鍵配置步驟4:創建一個新的關鍵配置。設置這些值隻有如果你想使用這個用例的主要配置:

• storage_customer_managed_key_id:customer-managed密鑰存儲,將這個參數設置為ID為你的加密密鑰您在上一步中創建的配置。

• managed_services_customer_managed_key_id:customer-managed密鑰管理服務,將這個參數設置為ID為你的加密密鑰您在上一步中創建的配置。

例如:

旋度\- x的帖子\——頭“授權:無記名< google-id-token >”\——頭“X-Databricks-GCP-SA-Access-Token: < access-token-sa-2 >”\https://accounts.gcp.m.eheci.com/api/2.0/accounts/ <帳戶id > /工作區- d”{“workspace_name”:“<工作空間名稱>”,“pricing_tier”:“溢價”," cloud_resource_container ": {"質量":{:“project_id < gcp-workspace-project-id >”}},地區“位置”:“< >”,"網絡":{“network_id”:“<網絡id >”,“private_access_settings_id”:“< private-access-settings-id >”," gcp_common_network_config ": {:“gke_connectivity_type PRIVATE_NODE_PUBLIC_MASTER”,:“gke_cluster_master_ip_range 10.4.0.0/28”}},“storage_customer_managed_key_id”:“< customer-managed-key-id >”,:“managed_services_customer_managed_key_id < customer-managed-key-id >”}'

替換:

• <帳戶id >你的磚帳戶ID。

• < google-id-token >上麵創建的Google ID標記。

• < access-token-sa-2 >上麵創建的Google OAuth訪問令牌你。

• <項目id >穀歌雲項目ID工作空間的計算資源,這可能是不同的項目ID雲公裏的關鍵。

• <地區>與該地區的工作區,必須同一地區雲公裏的關鍵。

• <網絡id >與網絡配置ID。

• < private-access-settings-id >與私營access設置ID。

• < customer-managed-key-id >與加密密鑰複製上麵的配置ID。

這生成一個響應類似於:

{“workspace_id”:999997997552291,“workspace_name”:“cmk-workspace”,“creation_time”:1667583992464,“deployment_name”:“7732657997552291.1”,“workspace_status”:“運行”,“account_id”:“<帳戶id >”,“workspace_status_message”:“工作空間運行。”,“pricing_tier”:“溢價”,“位置”:“us-east4”,“雲”:“質量”,“cloud_resource_container”:{“質量”:{“project_id”:“示例項目”}},“網絡”:{“network_id”:“<網絡id >”,“private_access_settings_id”:“< private-access-settings-id >”,“gcp_common_network_config”:{“gke_connectivity_type”:“PRIVATE_NODE_PUBLIC_MASTER”,“gke_cluster_master_ip_range”:“10.4.0.0/28”}},“storage_customer_managed_key_id”:“< customer-managed-key-id >”,“managed_services_customer_managed_key_id”:“< customer-managed-key-id >”}