Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Schlüsselmanagement bei einem Cloud-Provider

Beitragende

Ab ONTAP 9.10.1 können Sie dies nutzen "Azure Key Vault (AKV)" Und "Der Verschlüsselungsmanagement-Service (Cloud KMS) der Google Cloud-Plattform" Zum Schutz Ihrer ONTAP-Verschlüsselungen in einer Cloud-gehosteten Applikation. Ab ONTAP 9.12.0 können Sie auch NVE-Schlüssel mit schützen "KMS VON AWS".

AWS KMS, AKV und Cloud KMS können zum Schutz eingesetzt werden "NetApp Volume Encryption (NVE)-Schlüssel" Nur für Data SVMs.

Über diese Aufgabe

Das Verschlüsselungsmanagement mit einem Cloud-Provider kann über die CLI oder die ONTAP REST-API aktiviert werden.

Wenn Sie zum Schutz Ihrer Schlüssel einen Cloud-Provider verwenden, beachten Sie, dass standardmäßig eine Daten-SVM-LIF zur Kommunikation mit dem Cloud-Schlüsselmanagement-Endpunkt verwendet wird. Über ein Node-Managementnetzwerk kommunizieren Sie mit den Authentifizierungsservices des Cloud-Providers (login.microsoftonline.com für Azure, oauth2.googleapis.com für Cloud KMS). Wenn das Cluster-Netzwerk nicht korrekt konfiguriert ist, nutzt das Cluster den Verschlüsselungsmanagementservice nicht ordnungsgemäß.

Wenn Sie einen Cloud-Provider-Managementservice nutzen, sollten Sie sich die folgenden Einschränkungen bewusst sein:

  • Das Verschlüsselungsmanagement von Cloud-Providern ist für die NetApp Storage-Verschlüsselung (NSE) und die NetApp Aggregate Encryption (NAE) nicht verfügbar. "Externe KMIPs" Kann stattdessen verwendet werden.

  • Das Verschlüsselungsmanagement bei MetroCluster-Konfigurationen ist nicht für Cloud-Provider verfügbar.

  • Das Verschlüsselungsmanagement von Cloud-Providern kann nur auf einer Daten-SVM konfiguriert werden.

Bevor Sie beginnen
  • Sie müssen den KMS auf dem entsprechenden Cloud-Provider konfiguriert haben.

  • Die Nodes des ONTAP Clusters müssen NVE unterstützen.

  • Sie müssen die Lizenzen für Volume Encryption (VE) und Multi-Tenant Encryption Key Management (MTEKM) installiert haben.

  • Sie müssen ein Cluster- oder SVM-Administrator sein.

  • Die Daten-SVM darf keine verschlüsselten Volumes enthalten oder einen Schlüsselmanager beschäftigen. Wenn die Daten-SVM verschlüsselte Volumes enthält, müssen Sie sie vor der Konfiguration des KMS migrieren.

Externes Verschlüsselungsmanagement

Die Aktivierung des externen Schlüsselmanagements hängt von dem jeweiligen Schlüsselmanager ab, den Sie verwenden. Wählen Sie die Registerkarte des entsprechenden Schlüsselmanagers und der entsprechenden Umgebung aus.

AWS
Bevor Sie beginnen
  • Sie müssen einen Zuschuss für den AWS-KMS-Schlüssel erstellen, der von der IAM-Rolle zum Managen der Verschlüsselung verwendet wird. Die IAM-Rolle muss eine Richtlinie enthalten, die die folgenden Operationen zulässt:

    • DescribeKey

    • Encrypt

    • Decrypt

      Weitere Informationen finden Sie in der AWS-Dokumentation für "Zuschüsse".

Aktivieren Sie AWS KMV auf einer ONTAP SVM
  1. Bevor Sie beginnen, erhalten Sie sowohl die Zugriffsschlüssel-ID als auch den geheimen Schlüssel von Ihrem AWS KMS.

  2. Legen Sie die Berechtigungsebene auf erweitert fest:
    set -priv advanced

  3. AWS KMS aktivieren:
    security key-manager external aws enable -vserver svm_name -region AWS_region -key-id key_ID -encryption-context encryption_context

  4. Geben Sie den geheimen Schlüssel ein, wenn Sie dazu aufgefordert werden.

  5. Überprüfen Sie, ob der AWS-KMS ordnungsgemäß konfiguriert wurde:
    security key-manager external aws show -vserver svm_name

Azure
Aktivieren Sie Azure Key Vault auf einer ONTAP SVM
  1. Bevor Sie beginnen, müssen Sie die entsprechenden Authentifizierungsdaten von Ihrem Azure-Konto beziehen, entweder ein Clientgeheimnis oder ein Zertifikat. Sie müssen außerdem sicherstellen, dass alle Nodes im Cluster sich in einem ordnungsgemäßen Zustand befinden. Sie können dies mit dem Befehl überprüfen cluster show.

  2. Setzen Sie die privilegierte Stufe auf „Erweiterd“
    set -priv advanced

  3. Aktivieren Sie AKV auf der SVM
    `security key-manager external azure enable -client-id client_id -tenant-id tenant_id -name -key-id key_id -authentication-method {certificate|client-secret}`Geben Sie bei der entsprechenden Aufforderung entweder das Clientzertifikat oder den Clientschlüssel aus Ihrem Azure-Konto ein.

  4. Überprüfen Sie, ob AKV richtig aktiviert ist:
    security key-manager external azure show vserver svm_name
    Wenn die Erreichbarkeit des Service nicht in Ordnung ist, stellen Sie die Verbindung zum AKV Key Management Service über die LIF der Daten-SVM her.

Google Cloud
Aktivieren Sie Cloud-KMS auf einer ONTAP SVM
  1. Bevor Sie beginnen, erhalten Sie den privaten Schlüssel für die Google Cloud KMS-Kontoschlüsseldatei in einem JSON-Format. Dieser Punkt ist in Ihrem GCP-Konto enthalten.
    Sie müssen außerdem sicherstellen, dass alle Nodes im Cluster sich in einem ordnungsgemäßen Zustand befinden. Sie können dies mit dem Befehl überprüfen cluster show.

  2. Privilegierte Ebene auf erweitert setzen:
    set -priv advanced

  3. Aktivieren Sie Cloud KMS auf der SVM
    security key-manager external gcp enable -vserver svm_name -project-id project_id-key-ring-name key_ring_name -key-ring-location key_ring_location -key-name key_name
    Geben Sie bei entsprechender Aufforderung den Inhalt der JSON-Datei mit dem privaten Schlüssel für Dienstkonto ein

  4. Vergewissern Sie sich, dass Cloud KMS mit den korrekten Parametern konfiguriert ist:
    security key-manager external gcp show vserver svm_name
    Der Status von kms_wrapped_key_status Wird sein “UNKNOWN” Wenn keine verschlüsselten Volumes erstellt wurden.
    Wenn die Serviceability nicht in Ordnung ist, stellen Sie die Konnektivität zum GCP-Schlüsselmanagement-Service über die Daten-SVM LIF her.

Wenn bereits ein oder mehrere verschlüsselte Volumes für eine Daten-SVM konfiguriert sind und die entsprechenden NVE Schlüssel vom Onboard-Schlüsselmanager des Admin-SVM gemanagt werden, sollten diese Schlüssel zu dem externen Verschlüsselungsmanagement-Service migriert werden. Führen Sie dazu den Befehl mit der CLI aus:
`security key-manager key migrate -from-Vserver admin_SVM -to-Vserver data_SVM`Erst dann können neue verschlüsselte Volumes für die Daten-SVM des Mandanten erstellt werden, wenn alle NVE-Schlüssel der Daten-SVM erfolgreich migriert wurden.