Schlüsselmanagement mit AWS Key Management Service
Verwenden Sie können "AWS Key Management Service (KMS)" Zum Schutz Ihrer ONTAP Verschlüsselungen in einer vom Google Cloud-Plattform bereitgestellten Applikation.
Verschlüsselungsmanagement mit AWS KMS kann über die CLI oder die ONTAP REST-API aktiviert werden.
Bei Verwendung des KMS ist zu beachten, dass standardmäßig die LIF einer Daten-SVM verwendet wird, um mit dem Endpunkt des Cloud-Schlüsselmanagements zu kommunizieren. Ein Node-Managementnetzwerk wird zur Kommunikation mit den Authentifizierungsdiensten von AWS verwendet. Wenn das Cluster-Netzwerk nicht korrekt konfiguriert ist, nutzt das Cluster den Verschlüsselungsmanagementservice nicht ordnungsgemäß.
-
Cloud Volumes ONTAP muss Version 9.12.0 oder höher ausführen
-
Sie müssen die Volume Encryption (VE)-Lizenz und installiert haben
-
Sie müssen die MTEKM-Lizenz (Multi-Tenant Encryption Key Management) installiert haben.
-
Sie müssen ein Cluster- oder SVM-Administrator sein
-
Sie müssen über ein aktives AWS-Abonnement verfügen
|
Schlüssel können nur für eine Daten-SVM konfiguriert werden. |
Konfiguration
-
Sie müssen einen erstellen "Gewähren" Für den AWS-KMS-Schlüssel, der von der IAM-Rolle zum Managen der Verschlüsselung verwendet wird. Die IAM-Rolle muss eine Richtlinie enthalten, die die folgenden Operationen zulässt:
-
DescribeKey
-
Encrypt
-
Decrypt
Informationen zum Erstellen einer Erteilung finden Sie unter "AWS-Dokumentation".
-
-
"Fügen Sie der entsprechenden IAM-Rolle eine Richtlinie hinzu." Die Politik sollte die unterstützen
DescribeKey
,Encrypt
, undDecrypt
Betrieb:
-
Wechseln Sie zu Ihrer Cloud Volumes ONTAP Umgebung.
-
Wechseln zur erweiterten Berechtigungsebene:
set -privilege advanced
-
Aktivieren Sie den AWS Schlüsselmanager:
security key-manager external aws enable -vserver data_svm_name -region AWS_region -key-id key_ID -encryption-context encryption_context
-
Geben Sie den geheimen Schlüssel ein, wenn Sie dazu aufgefordert werden.
-
Überprüfen Sie, ob der AWS-KMS ordnungsgemäß konfiguriert wurde:
security key-manager external aws show -vserver svm_name