Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Verwalten Sie ONTAP -Schlüssel mit Barbican KMS

Beitragende netapp-bhouser
PDFs

Ab ONTAP 9.17.1 können Sie OpenStacks "Barbican KMS" zum Schutz von ONTAP Verschlüsselungsschlüsseln. Barbican KMS ist ein Dienst zum sicheren Speichern und Zugreifen auf Schlüssel. Barbican KMS kann zum Schutz von NetApp Volume Encryption (NVE)-Schlüsseln für Daten-SVMs verwendet werden. Barbican basiert auf "OpenStack Keystone" , der Identitätsdienst von OpenStack, zur Authentifizierung.

Über diese Aufgabe

Sie können die Schlüsselverwaltung mit Barbican KMS über die CLI oder die ONTAP REST API konfigurieren. Ab Version 9.17.1 gelten für die Barbican KMS-Unterstützung folgende Einschränkungen:

  • Barbican KMS wird für NetApp Storage Encryption (NSE) und NetApp Aggregate Encryption (NAE) nicht unterstützt. Alternativ können Sie "externe KMIPs" oder die "Onboard-Schlüsselmanager (OKM)" für NSE- und NVE-Schlüssel.

  • Barbican KMS wird für MetroCluster -Konfigurationen nicht unterstützt.

  • Barbican KMS kann nur für eine Daten-SVM konfiguriert werden. Es ist nicht für die Administrator-SVM verfügbar.

Sofern nicht anders angegeben, sind die Administratoren der admin Mit dieser Berechtigungsstufe können Sie die folgenden Verfahren durchführen.

Bevor Sie beginnen

  • Barbican KMS und OpenStack Keystone müssen konfiguriert sein. Die SVM, die Sie mit Barbican verwenden, benötigt Netzwerkzugriff auf die Barbican- und OpenStack Keystone Server.

  • Wenn Sie eine benutzerdefinierte Zertifizierungsstelle (CA) für die Barbican- und OpenStack Keystone Server verwenden, müssen Sie das CA-Zertifikat mit installieren security certificate install -type server-ca -vserver <admin_svm> .

Erstellen und Aktivieren einer Barbican KMS-Konfiguration

Sie können eine neue Barbican KMS-Konfiguration für eine SVM erstellen und aktivieren. Eine SVM kann mehrere inaktive Barbican KMS-Konfigurationen haben, es kann jedoch immer nur eine aktiv sein.

Schritte

  1. Erstellen Sie eine neue inaktive Barbican KMS-Konfiguration für eine SVM:

    security key-manager external barbican create-config -vserver <svm_name> -config-name <unique_config_name> -key-id <key_id> -keystone-url <keystone_url> -application-cred-id <keystone_applications_credentials_id>

    • -key-id ist die Schlüsselkennung des Barbican-Schlüssels (KEK). Geben Sie eine vollständige URL ein, einschließlich https:// .

      Hinweis Einige URLs enthalten das Fragezeichen (?). Das Fragezeichen aktiviert die aktive Hilfe der ONTAP Befehlszeile. Um eine URL mit einem Fragezeichen einzugeben, müssen Sie zunächst die aktive Hilfe mit dem Befehl deaktivieren. set -active-help false Die Die aktive Hilfe kann später wieder mit dem Befehl set -active-help true. im "ONTAP-Befehlsreferenz" .

    • -keystone-url ist die URL des OpenStack Keystone Autorisierungshosts. Geben Sie eine vollständige URL ein, einschließlich https:// .

    • -application-cred-id ist die Anmeldeinformations-ID der Anwendung.

      Nach Eingabe dieses Befehls werden Sie zur Eingabe des geheimen Schlüssels für die Anwendungsanmeldeinformationen aufgefordert. Dieser Befehl erstellt eine inaktive Barbican KMS-Konfiguration.

      Das folgende Beispiel erstellt eine neue inaktive Barbican KMS-Konfiguration mit dem Namen config1 für die SVM svm1 :

    cluster1::> security key-manager external barbican create-config -vserver svm1 -config-name config1 -keystone-url https://172.21.76.152:5000/v3 -application-cred-id app123 -key-id https://172.21.76.153:9311/v1/secrets/<id_value>

Enter the Application Credentials Secret for authentication with Keystone: <key_value>

  2. Aktivieren Sie die neue Barbican KMS-Konfiguration:

    security key-manager keystore enable -vserver <svm_name> -config-name <unique_config_name> -keystore barbican

    Mit diesem Befehl können Sie zwischen Barbican KMS-Konfigurationen wechseln. Wenn auf dem SVM bereits eine aktive Barbican KMS-Konfiguration vorhanden ist, wird diese deaktiviert und die neue Konfiguration aktiviert.

  3. Überprüfen Sie, ob die neue Barbican KMS-Konfiguration aktiv ist:

    security key-manager external barbican check -vserver <svm_name> -node <node_name>

    Dieser Befehl liefert den Status der aktiven Barbican KMS-Konfiguration auf dem SVM oder Knoten. Wenn beispielsweise der SVM svm1 auf Knoten node1 über eine aktive Barbican KMS-Konfiguration verfügt, gibt der folgende Befehl den Status dieser Konfiguration zurück:

    cluster1::> security key-manager external barbican check -node node1

Vserver: svm1
Node: node1

Category: service_reachability
              Status: OK

Category: kms_wrapped_key_status
              Status: OK

Aktualisieren Sie die Anmeldeinformationen und Einstellungen einer Barbican KMS-Konfiguration

Sie können die aktuellen Einstellungen einer aktiven oder inaktiven Barbican KMS-Konfiguration anzeigen und aktualisieren.

Schritte

  1. Sehen Sie sich die aktuellen Barbican KMS-Konfigurationen für eine SVM an:

    security key-manager external barbican show -vserver <svm_name>

    Die Schlüssel-ID, die OpenStack Keystone -URL und die Anwendungsanmeldeinformations-ID werden für jede Barbican KMS-Konfiguration auf der SVM angezeigt.

  2. Aktualisieren Sie die Einstellungen einer Barbican KMS-Konfiguration:

    security key-manager external barbican update-config -vserver <svm_name> -config-name <unique_config_name> -timeout <timeout> -verify <true|false> -verify-host <true|false>

    Dieser Befehl aktualisiert die Timeout- und Überprüfungseinstellungen der angegebenen Barbican KMS-Konfiguration. timeout bestimmt die Zeit in Sekunden, die ONTAP auf eine Antwort von Barbican wartet, bevor die Verbindung fehlschlägt. Der Standardwert timeout beträgt zehn Sekunden. verify Und verify-host Legen Sie fest, ob die Identität bzw. der Hostname des Barbican-Hosts vor der Verbindung überprüft werden soll. Standardmäßig sind diese Parameter auf true . Der vserver Und config-name Parameter sind erforderlich. Die anderen Parameter sind optional.

  3. Aktualisieren Sie bei Bedarf die Anmeldeinformationen einer aktiven oder inaktiven Barbican KMS-Konfiguration:

    security key-manager external barbican update-credentials -vserver <svm_name> -config-name <unique_config_name> -application-cred-id <keystone_applications_credentials_id>

    Nach der Eingabe dieses Befehls werden Sie aufgefordert, den neuen geheimen Schlüssel für die Anwendungsanmeldeinformationen einzugeben.

  4. Stellen Sie bei Bedarf einen fehlenden SVM-Schlüsselverschlüsselungsschlüssel (KEK) für eine aktive Barbican KMS-Konfiguration wieder her:

    1. Stellen Sie einen fehlenden SVM-KEK wieder her mit security key-manager external barbican restore :

      security key-manager external barbican restore -vserver <svm_name>

      Dieser Befehl stellt den SVM KEK für die aktive Barbican KMS-Konfiguration durch Kommunikation mit dem Barbican-Server wieder her.

  5. Falls erforderlich, müssen Sie den SVM KEK für eine Barbican KMS-Konfiguration neu kodieren:

    1. Legen Sie die Berechtigungsebene auf erweitert fest:

      set -privilege advanced

    2. Erneutes Verschlüsseln des SVM-KEK mit security key-manager external barbican rekey-internal :

      security key-manager external barbican rekey-internal -vserver <svm_name>

      Dieser Befehl generiert einen neuen SVM-KEK für die angegebene SVM und umschließt die Volume-Verschlüsselungsschlüssel mit dem neuen SVM-KEK. Der neue SVM-KEK wird durch die aktive Barbican-KMS-Konfiguration geschützt.

Migrieren Sie Schlüssel zwischen Barbican KMS und dem Onboard Key Manager

Sie können Schlüssel vom Barbican KMS zum Onboard Key Manager (OKM) und umgekehrt migrieren. Weitere Informationen zum OKM finden Sie unter "Ermöglichen Sie integriertes Verschlüsselungsmanagement in ONTAP 9.6 und höher" .

Schritte

  1. Legen Sie die Berechtigungsebene auf erweitert fest:

    set -privilege advanced

  2. Migrieren Sie bei Bedarf Schlüssel vom Barbican KMS zum OKM:

    security key-manager key migrate -from-vserver <svm_name> -to-vserver <admin_svm_name>

    svm_name ist der Name der SVM mit der Barbican KMS-Konfiguration.

  3. Migrieren Sie bei Bedarf Schlüssel vom OKM zum Barbican KMS:

    security key-manager key migrate -from-vserver <admin_svm_name> -to-vserver <svm_name>

Deaktivieren und Löschen einer Barbican KMS-Konfiguration

Sie können eine aktive Barbican KMS-Konfiguration ohne verschlüsselte Volumes deaktivieren und eine inaktive Barbican KMS-Konfiguration löschen.

Schritte

  1. Legen Sie die Berechtigungsebene auf erweitert fest:

    set -privilege advanced

  2. Deaktivieren Sie eine aktive Barbican KMS-Konfiguration:

    security key-manager keystore disable -vserver <svm_name>

    Wenn NVE-verschlüsselte Volumes auf der SVM vorhanden sind, müssen Sie diese entschlüsseln oder Migrieren Sie die Schlüssel bevor Sie die Barbican KMS-Konfiguration deaktivieren. Das Aktivieren einer neuen Barbican KMS-Konfiguration erfordert weder das Entschlüsseln von NVE-Volumes noch das Migrieren von Schlüsseln und deaktiviert die aktuell aktive Barbican KMS-Konfiguration.

  3. Löschen Sie eine inaktive Barbican KMS-Konfiguration:

    security key-manager keystore delete -vserver <svm_name> -config-name <unique_config_name> -type barbican