Skip to main content
Todos los proveedores de cloud
  • Amazon Web Services
  • Google Cloud
  • Microsoft Azure
  • Todos los proveedores de cloud
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Gestione las claves con el Servicio de administración de claves en la nube de Google

Colaboradores

Puede utilizar "Servicio de gestión de claves de Google Cloud Platform (Cloud KMS)" Para proteger sus claves de cifrado de ONTAP en una aplicación puesta en marcha de Google Cloud Platform.

La gestión de claves con Cloud KMS se puede habilitar con la CLI o la API DE REST de ONTAP.

Al usar Cloud KMS, tenga en cuenta que, de forma predeterminada, se usa LIF de una SVM de datos para comunicarse con el punto final de la gestión de claves de cloud. Una red de gestión de nodos se usa para comunicarse con los servicios de autenticación del proveedor de cloud (oauth2.googleapis.com). Si la red de clúster no está configurada correctamente, el clúster no utilizará correctamente el servicio de gestión de claves.

Antes de empezar

  • Cloud Volumes ONTAP debe ejecutar la versión 9.10.1 de o posterior

  • Licencia de Volume Encryption (ve) instalada

  • Licencia de administración de claves de cifrado multi-tenant (MTEKM) instalada, a partir de Cloud Volumes ONTAP 9.12.1 GA.

  • Debe ser un administrador de clústeres o SVM

  • Una suscripción activa a Google Cloud Platform

Limitaciones

  • Cloud KMS solo puede configurarse en una SVM de datos

Configuración

Google Cloud

  1. En su entorno de Google Cloud, "Cree una clave y un anillo de clave de GCP simétrico".

  2. Cree una función personalizada para su cuenta de servicio de Cloud Volumes ONTAP.

    gcloud iam roles create kmsCustomRole
    --project=<project_id>
    --title=<kms_custom_role_name>
    --description=<custom_role_description>
    --permissions=cloudkms.cryptoKeyVersions.get,cloudkms.cryptoKeyVersions.list,cloudkms.cryptoKeyVersions.useToDecrypt,cloudkms.cryptoKeyVersions.useToEncrypt,cloudkms.cryptoKeys.get,cloudkms.keyRings.get,cloudkms.locations.get,cloudkms.locations.list,resourcemanager.projects.get
    --stage=GA

  3. Asigne el rol personalizado a la clave de Cloud KMS y a la cuenta de servicio de Cloud Volumes ONTAP:
    gcloud kms keys add-iam-policy-binding key_name --keyring key_ring_name --location key_location --member serviceAccount:_service_account_Name_ --role projects/customer_project_id/roles/kmsCustomRole

  4. Descargue la clave JSON de la cuenta de servicio:
    gcloud iam service-accounts keys create key-file --iam-account=sa-name@project-id.iam.gserviceaccount.com

Cloud Volumes ONTAP

  1. Conéctese a la LIF de gestión de clústeres con el cliente SSH preferido.

  2. Cambie al nivel de privilegio avanzado:
    set -privilege advanced

  3. Cree un DNS para la SVM de datos.
    dns create -domains c.<project>.internal -name-servers server_address -vserver SVM_name

  4. Crear entrada CMEK:
    security key-manager external gcp enable -vserver SVM_name -project-id project -key-ring-name key_ring_name -key-ring-location key_ring_location -key-name key_name

  5. Cuando se le solicite, introduzca la clave JSON de la cuenta de servicio desde su cuenta de GCP.

  6. Confirme que el proceso activado se ha realizado correctamente:
    security key-manager external gcp check -vserver svm_name

  7. OPCIONAL: Cree un volumen para probar el cifrado vol create volume_name -aggregate aggregate -vserver vserver_name -size 10G

Solucionar problemas

Si necesita solucionar problemas, puede cola los registros de la API DE REST sin configurar en los dos últimos pasos que se indican a continuación:

  1. set d

  2. systemshell -node node -command tail -f /mroot/etc/log/mlog/kmip2_client.log