Skip to main content
Alle Cloud-Anbieter
  • Amazon Web Services
  • Google Cloud
  • Microsoft Azure
  • Alle Cloud-Anbieter
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Verwalten Sie Cloud Volumes ONTAP Verschlüsselungsschlüssel mit Google Cloud KMS

Beitragende netapp-manini
PDFs

Sie können"Schlüsselverwaltungsdienst (Cloud KMS) der Google Cloud Platform" zum Schutz Ihrer Cloud Volumes ONTAP Verschlüsselungsschlüssel in einer auf der Google Cloud Platform bereitgestellten Anwendung.

Die Schlüsselverwaltung mit Cloud KMS kann mit der ONTAP CLI oder der ONTAP REST API aktiviert werden.

Beachten Sie bei der Verwendung von Cloud KMS, dass standardmäßig das LIF eines Daten-SVM zur Kommunikation mit dem Cloud-Schlüsselverwaltungsendpunkt verwendet wird. Zur Kommunikation mit den Authentifizierungsdiensten des Cloud-Anbieters (oauth2.googleapis.com) wird ein Knotenverwaltungsnetzwerk verwendet. Wenn das Clusternetzwerk nicht richtig konfiguriert ist, kann der Cluster den Schlüsselverwaltungsdienst nicht richtig nutzen.

Bevor Sie beginnen

  • Auf Ihrem System sollte Cloud Volumes ONTAP 9.10.1 oder höher ausgeführt werden.

  • Sie müssen eine Daten-SVM verwenden. Cloud KMS kann nur auf einer Daten-SVM konfiguriert werden.

  • Sie müssen ein Cluster- oder SVM-Administrator sein

  • Die Volume Encryption (VE)-Lizenz sollte auf der SVM installiert werden

  • Ab Cloud Volumes ONTAP 9.12.1 GA sollte auch die Multi-Tenant Encryption Key Management (MTEKM)-Lizenz installiert werden

  • Ein aktives Google Cloud Platform-Abonnement ist erforderlich

Konfiguration

Google Cloud

  1. In Ihrer Google Cloud-Umgebung"Erstellen Sie einen symmetrischen GCP-Schlüsselring und Schlüssel" .

  2. Weisen Sie dem Cloud KMS-Schlüssel und dem Cloud Volumes ONTAP Dienstkonto eine benutzerdefinierte Rolle zu.

    1. Erstellen Sie die benutzerdefinierte Rolle:

      gcloud iam roles create kmsCustomRole
    --project=<project_id>
    --title=<kms_custom_role_name>
    --description=<custom_role_description>
    --permissions=cloudkms.cryptoKeyVersions.get,cloudkms.cryptoKeyVersions.list,cloudkms.cryptoKeyVersions.useToDecrypt,cloudkms.cryptoKeyVersions.useToEncrypt,cloudkms.cryptoKeys.get,cloudkms.keyRings.get,cloudkms.locations.get,cloudkms.locations.list,resourcemanager.projects.get
    --stage=GA

    2. Weisen Sie die von Ihnen erstellte benutzerdefinierte Rolle zu:
      gcloud kms keys add-iam-policy-binding key_name --keyring key_ring_name --location key_location --member serviceAccount:_service_account_Name_ --role projects/customer_project_id/roles/kmsCustomRole

      Hinweis Wenn Sie Cloud Volumes ONTAP 9.13.0 oder höher verwenden, müssen Sie keine benutzerdefinierte Rolle erstellen. Sie können die vordefinierten[cloudkms.cryptoKeyEncrypterDecrypter ^] Rolle.

  3. Laden Sie den JSON-Schlüssel des Dienstkontos herunter:
    gcloud iam service-accounts keys create key-file --iam-account=sa-name@project-id.iam.gserviceaccount.com

Cloud Volumes ONTAP

  1. Stellen Sie mit Ihrem bevorzugten SSH-Client eine Verbindung zum Cluster-Management-LIF her.

  2. Wechseln Sie zur erweiterten Berechtigungsstufe:
    set -privilege advanced

  3. Erstellen Sie ein DNS für die Daten-SVM.
    dns create -domains c.<project>.internal -name-servers server_address -vserver SVM_name

  4. CMEK-Eintrag erstellen:
    security key-manager external gcp enable -vserver SVM_name -project-id project -key-ring-name key_ring_name -key-ring-location key_ring_location -key-name key_name

  5. Geben Sie bei der entsprechenden Aufforderung den JSON-Schlüssel des Dienstkontos aus Ihrem GCP-Konto ein.

  6. Bestätigen Sie, dass der Aktivierungsprozess erfolgreich war:
    security key-manager external gcp check -vserver svm_name

  7. OPTIONAL: Erstellen Sie ein Volume zum Testen der Verschlüsselung vol create volume_name -aggregate aggregate -vserver vserver_name -size 10G

Fehlerbehebung

Wenn Sie Fehler beheben müssen, können Sie die Rohprotokolle der REST-API in den letzten beiden Schritten oben verfolgen:

  1. set d

  2. systemshell -node node -command tail -f /mroot/etc/log/mlog/kmip2_client.log