配置customer-managed键使用API

步骤1:创建或选择一个关键在云公里

1. 创建或选择一个对称密钥在云公里以下的指令创建一个对称加密密钥。

   重要的

   云公里键必须是在同一地区作为你的工作区。

2. 复制资源名称公里的关键。

步骤2:为你的服务帐户权限授予(- 2)

你必须让你的主要服务帐户(2)云公里查看器作用在云公里你的关键。

1. 在谷歌云控制台,去密钥管理页面。

2. 单击您的密钥环的名称。

3. 点击你的关键。

4. 单击权限选项卡。

5. 点击授权访问。

6. 在添加主体,选择你的主要服务帐户。

7. 在分配角色,选择云公里查看器的角色。

   也使用此服务帐户创建工作区使用加密密钥配置,您必须指定服务帐户云公里管理的角色。这个角色包括getIamPolicy和setIamPolicy权限,这是必要的,使访问公里砖使用的谷歌云服务的关键,如GCS水桶,全球教育运动,GKE。

8. 点击保存。

您还可以使用云服务帐户角色授予公里API,明白了云公里访问控制。

步骤3:Get API认证令牌

工作区创建端点客户管理关键API的需要凭证透传。调用此API必须遵循指令凭证透传创建以下:

• Token-creating服务帐户(SA-1)

• 主要服务帐户砖REST api (- 2)

• 谷歌标识牌

• 谷歌OAuth访问令牌(api要求所需凭证透传)

身份验证令牌的使用寿命有限。如果你不准备完成后面的步骤在这篇文章中,您可能希望等到你准备好之前完成这一步。

步骤4:创建一个新的关键配置

您可以使用砖api来创建一个新的加密密钥配置。API参考信息,请参阅账户关键配置API。

创建一个新的加密密钥配置使用API调用的方法/ 2.0 /账户/ <帐户id > / customer-managed-keysREST端点使用公里的关键。

API参考文档,请参阅账户关键配置API。

用例的数组use_cases字段必须包含一个或两个以下:

• 存储:看Customer-managed密钥管理服务

• MANAGED_SERVICES:看Customer-managed键工作区存储

例如:

旋度\- x的帖子\——头“授权:无记名< google-id-token >”\——头“X-Databricks-GCP-SA-Access-Token: < access-token-sa-2 >”\https://accounts.gcp.www.neidfyre.com/api/2.0/accounts/ <帐户id > / customer-managed-keys - d”{" gcp_key_info ": {:“resource_name < key-resource-name >”},“use_cases”:(“存储”,“MANAGED_SERVICES”]}'

替换:

• <帐户id >你的砖帐户ID。

• < google-id-token >上面创建的Google ID标记。

• < access-token-sa-2 >上面创建的Google OAuth访问令牌你。

• < key-resource-name >与云的资源名公里的关键。

这生成一个响应类似于:

{“customer_managed_key_id”:“< customer-managed-key-id >”,“account_id”:“<帐户id >”,“gcp_key_info”:{“kms_key_id”:“< key-resource-name >”},“creation_time”:1667583992464,“use_cases”:(“存储”,“MANAGED_SERVICES”]}

复制customer-managed-key-id从响应。

第五步:创建一个新的工作区

您可以使用砖api来创建一个新的工作区使用加密密钥配置。API参考信息,请参阅账户关键配置API。

创建一个工作空间,你的主要服务帐户(2)必须获得所有必要的项目权限创建谷歌云工作区。看到需要用户权限或服务帐户权限创建工作区。

创建工作区使用公里密钥进行加密,您还必须授予你的主要服务帐户(2)云公里管理作用在云公里你的关键。看到步骤2:为你的服务帐户权限授予(- 2)。

使用API来创建一个新的工作区,调用的方法/ 2.0 /账户/ <帐户id > /工作区REST端点使用customer-managed-key-id从上面。

API参考文档,请参阅工作区创建API。

设置请求参数customer-managed键根据用例配置的关键配置步骤4:创建一个新的关键配置。设置这些值只有如果你想使用这个用例的主要配置:

• storage_customer_managed_key_id:customer-managed密钥存储,将这个参数设置为ID为你的加密密钥您在上一步中创建的配置。

• managed_services_customer_managed_key_id:customer-managed密钥管理服务,将这个参数设置为ID为你的加密密钥您在上一步中创建的配置。

例如:

旋度\- x的帖子\——头“授权:无记名< google-id-token >”\——头“X-Databricks-GCP-SA-Access-Token: < access-token-sa-2 >”\https://accounts.gcp.www.neidfyre.com/api/2.0/accounts/ <帐户id > /工作区- d”{“workspace_name”:“<工作空间名称>”,“pricing_tier”:“溢价”," cloud_resource_container ": {"质量":{:“project_id < gcp-workspace-project-id >”}},地区“位置”:“< >”,"网络":{“network_id”:“<网络id >”,“private_access_settings_id”:“< private-access-settings-id >”," gcp_common_network_config ": {:“gke_connectivity_type PRIVATE_NODE_PUBLIC_MASTER”,:“gke_cluster_master_ip_range 10.4.0.0/28”}},“storage_customer_managed_key_id”:“< customer-managed-key-id >”,:“managed_services_customer_managed_key_id < customer-managed-key-id >”}'

替换:

• <帐户id >你的砖帐户ID。

• < google-id-token >上面创建的Google ID标记。

• < access-token-sa-2 >上面创建的Google OAuth访问令牌你。

• <项目id >谷歌云项目ID工作空间的计算资源,这可能是不同的项目ID云公里的关键。

• <地区>与该地区的工作区,必须同一地区云公里的关键。

• <网络id >与网络配置ID。

• < private-access-settings-id >与私营access设置ID。

• < customer-managed-key-id >与加密密钥复制上面的配置ID。

这生成一个响应类似于:

{“workspace_id”:999997997552291,“workspace_name”:“cmk-workspace”,“creation_time”:1667583992464,“deployment_name”:“7732657997552291.1”,“workspace_status”:“运行”,“account_id”:“<帐户id >”,“workspace_status_message”:“工作空间运行。”,“pricing_tier”:“溢价”,“位置”:“us-east4”,“云”:“质量”,“cloud_resource_container”:{“质量”:{“project_id”:“示例项目”}},“网络”:{“network_id”:“<网络id >”,“private_access_settings_id”:“< private-access-settings-id >”,“gcp_common_network_config”:{“gke_connectivity_type”:“PRIVATE_NODE_PUBLIC_MASTER”,“gke_cluster_master_ip_range”:“10.4.0.0/28”}},“storage_customer_managed_key_id”:“< customer-managed-key-id >”,“managed_services_customer_managed_key_id”:“< customer-managed-key-id >”}