Gestione claves con el servicio de gestión de claves de AWS
Sugerir cambios
PDF
Puede utilizar "Servicio de gestión de claves (KMS) de AWS" Para proteger sus claves de cifrado de ONTAP en una aplicación implementada por AWS.
La gestión de claves con el KMS de AWS se puede habilitar con la interfaz de línea de comandos o la API DE REST de ONTAP.
Al usar KMS, tenga en cuenta que, de forma predeterminada, se usa LIF de una SVM de datos para comunicarse con el punto final de la gestión de claves de cloud. Una red de gestión de nodos se usa para comunicarse con los servicios de autenticación de AWS. Si la red de clúster no está configurada correctamente, el clúster no utilizará correctamente el servicio de gestión de claves.
-
Cloud Volumes ONTAP debe ejecutar la versión 9.12.0 de o posterior
-
Debe haber instalado la licencia de cifrado de volúmenes (VE) y.
-
Debe haber instalado la licencia Multi-tenant Encryption Key Management (MTEKM).
-
Debe ser un administrador de clústeres o SVM
-
Debe tener una suscripción activa a AWS
|
Solo puede configurar claves para una SVM de datos. |
Configuración
-
Debe crear un "otorgar" Para la clave KMS de AWS que utilizará el rol de gestión de cifrado de IAM. El rol de IAM debe incluir una política que permita las siguientes operaciones:
-
DescribeKey -
Encrypt -
Decrypt
Para crear un permiso, consulte "Documentación de AWS".
-
-
"Agregue una política al rol de IAM adecuado." La política debe apoyar el
DescribeKey,Encrypt, y.Decryptoperaciones.
-
Cambie al entorno de Cloud Volumes ONTAP.
-
Cambie al nivel de privilegio avanzado:
set -privilege advanced -
Habilite el administrador de claves de AWS:
security key-manager external aws enable -vserver data_svm_name -region AWS_region -key-id key_ID -encryption-context encryption_context -
Cuando se le solicite, introduzca la clave secreta.
-
Confirme que el KMS de AWS se ha configurado correctamente:
security key-manager external aws show -vserver svm_name