Skip to main content
Todos los proveedores de cloud
  • Amazon Web Services
  • Google Cloud
  • Microsoft Azure
  • Todos los proveedores de cloud
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Configure Cloud Volumes ONTAP para utilizar una clave gestionada por el cliente en Azure

Colaboradores

Los datos se cifran automáticamente en Cloud Volumes ONTAP, en Azure mediante "Cifrado del servicio de almacenamiento de Azure" Con una clave gestionada por Microsoft. Pero puede utilizar su propia clave de cifrado siguiendo los pasos de esta página.

Información general de cifrado de datos

Los datos de Cloud Volumes ONTAP se cifran automáticamente en Azure mediante "Cifrado del servicio de almacenamiento de Azure". La implementación predeterminada utiliza una clave administrada por Microsoft. No se requiere configuración.

Si desea utilizar una clave gestionada por el cliente con Cloud Volumes ONTAP, debe realizar los siguientes pasos:

  1. Desde Azure, cree un almacén de claves y, a continuación, genere una clave en ese almacén

  2. Desde BlueXP, utilice la API para crear un entorno de trabajo de Cloud Volumes ONTAP que utilice la clave

Rotación de la clave

Si crea una nueva versión de la clave, Cloud Volumes ONTAP utiliza automáticamente la última versión de la clave.

Cómo se cifran los datos

BlueXP utiliza un conjunto de cifrado de disco, que permite la gestión de claves de cifrado con discos gestionados no con blobs de página. Todos los discos de datos nuevos también utilizan el mismo conjunto de cifrado de disco. Las versiones inferiores utilizarán la clave gestionada por Microsoft en lugar de la clave gestionada por el cliente.

Después de crear un entorno de trabajo de Cloud Volumes ONTAP configurado para utilizar una clave gestionada por el cliente, los datos de Cloud Volumes ONTAP se cifran de la siguiente manera.

Configuración de Cloud Volumes ONTAP Discos del sistema utilizados para el cifrado de claves Discos de datos utilizados para el cifrado de claves

Un solo nodo

  • Arranque

  • Núcleo

  • NVRAM

  • Raíz

  • SQL Server

Zona de disponibilidad única de Azure HA con blobs de página

  • Arranque

  • Núcleo

  • NVRAM

Ninguno

Zona de disponibilidad única de Azure HA con discos gestionados compartidos

  • Arranque

  • Núcleo

  • NVRAM

  • Raíz

  • SQL Server

Azure HA Varias zonas de disponibilidad con discos gestionados compartidos

  • Arranque

  • Núcleo

  • NVRAM

  • Raíz

  • SQL Server

Todas las cuentas de almacenamiento de Azure para Cloud Volumes ONTAP se cifran con una clave gestionada por los clientes. Si desea cifrar sus cuentas de almacenamiento durante su creación, debe crear y proporcionar el ID del recurso en la solicitud de creación de CVO. Esto se aplica a todo tipo de puesta en marcha. Si no lo proporciona, las cuentas de almacenamiento seguirán estando cifradas, pero BlueXP creará primero las cuentas de almacenamiento con el cifrado de claves gestionado por Microsoft y, a continuación, actualizará las cuentas de almacenamiento para que utilicen la clave gestionada por el cliente.

Crear una identidad gestionada asignada por el usuario

Tiene la opción de crear un recurso denominado identidad gestionada asignada por el usuario. Esto le permite cifrar sus cuentas de almacenamiento cuando crea un entorno de trabajo de Cloud Volumes ONTAP. Recomendamos crear este recurso antes de crear un almacén de claves y generar una clave.

El recurso tiene el siguiente identificador: userassignedidentity.

Pasos
  1. En Azure, vaya a Servicios de Azure y seleccione Identidades administradas.

  2. Haga clic en Crear.

  3. Proporcione los siguientes detalles:

    • Suscripción: Elige una suscripción. Recomendamos elegir la misma suscripción que la suscripción a Connector.

    • Grupo de recursos: Usa un grupo de recursos existente o crea uno nuevo.

    • Región: Opcionalmente, seleccione la misma región que el Conector.

    • Nombre: Introduzca un nombre para el recurso.

  4. Opcionalmente, agregue etiquetas.

  5. Haga clic en Crear.

Cree un almacén de claves y genere una clave

El almacén de claves debe residir en la misma suscripción a Azure y la misma región en la que esté previsto crear el sistema Cloud Volumes ONTAP.

Si usted se ha creado una identidad gestionada asignada por el usuario, al crear el almacén de claves, también debe crear una política de acceso para el almacén de claves.

Pasos
  1. "Cree un almacén de claves en su suscripción a Azure".

    Tenga en cuenta los siguientes requisitos para el almacén de claves:

    • El almacén de claves debe residir en la misma región que el sistema Cloud Volumes ONTAP.

    • Deben habilitarse las siguientes opciones:

      • Borrado suave (esta opción está activada de forma predeterminada, pero debe no estar desactivada)

      • Protección de purga

      • Cifrado de disco de Azure para cifrado de volúmenes (para sistemas de un solo nodo o pares de alta disponibilidad en varias zonas)

    • Se debe activar la siguiente opción si ha creado una identidad gestionada asignada por el usuario:

      • Política de acceso a Vault

  2. Si seleccionó Política de acceso al almacén, haga clic en Crear para crear una política de acceso para el almacén de claves. Si no es así, vaya al paso 3.

    1. Seleccione los siguientes permisos:

      • obtenga

      • lista

      • descifrar

      • cifrar

      • tecla desajustar

      • tecla ajustar

      • verificación

      • firma

    2. Seleccione la identidad administrada (recurso) asignada por el usuario como principal.

    3. Revise y cree la política de acceso.

  3. "Genere una clave en el almacén de claves".

    Tenga en cuenta los siguientes requisitos para la clave:

    • El tipo de clave debe ser RSA.

    • El tamaño de clave RSA recomendado es 2048, pero se admiten otros tamaños.

Cree un entorno de trabajo que utilice la clave de cifrado

Después de crear el almacén de claves y generar una clave de cifrado, puede crear un nuevo sistema Cloud Volumes ONTAP configurado para utilizar la clave. Estos pasos son compatibles con la API de BlueXP.

Permisos necesarios

Si desea utilizar una clave gestionada por el cliente con un sistema Cloud Volumes ONTAP de un solo nodo, asegúrese de que el conector BlueXP tiene los siguientes permisos:

"Microsoft.Compute/diskEncryptionSets/read",
"Microsoft.Compute/diskEncryptionSets/write",
"Microsoft.Compute/diskEncryptionSets/delete"
"Microsoft.KeyVault/vaults/deploy/action",
"Microsoft.KeyVault/vaults/read",
"Microsoft.KeyVault/vaults/accessPolicies/write",
"Microsoft.ManagedIdentity/userAssignedIdentities/assign/action"
Pasos
  1. Obtenga la lista de almacenes de claves de su suscripción a Azure mediante la siguiente llamada a la API de BlueXP.

    En el caso de un par de alta disponibilidad: GET /azure/ha/metadata/vaults

    Para un solo nodo: GET /azure/vsa/metadata/vaults

    Tome nota de los nombre y ResourceGroup. Tendrá que especificar esos valores en el paso siguiente.

  2. Obtenga la lista de claves dentro del almacén mediante la siguiente llamada a la API de BlueXP.

    En el caso de un par de alta disponibilidad: GET /azure/ha/metadata/keys-vault

    Para un solo nodo: GET /azure/vsa/metadata/keys-vault

    Tome nota del KeyName. Tendrá que especificar ese valor (junto con el nombre del almacén) en el siguiente paso.

  3. Cree un sistema Cloud Volumes ONTAP mediante la siguiente llamada a la API de BlueXP.

    1. En el caso de un par de alta disponibilidad:

      POST /azure/ha/working-environments

      El cuerpo de la solicitud debe incluir los siguientes campos:

      "azureEncryptionParameters": {
                    "key": "keyName",
                    "vaultName": "vaultName"
      }
      Nota Incluya el "userAssignedIdentity": " userAssignedIdentityId" si ha creado este recurso para utilizarlo para el cifrado de cuentas de almacenamiento.
    2. Para un sistema de un solo nodo:

      POST /azure/vsa/working-environments

      El cuerpo de la solicitud debe incluir los siguientes campos:

      "azureEncryptionParameters": {
                    "key": "keyName",
                    "vaultName": "vaultName"
      }
      Nota Incluya el "userAssignedIdentity": " userAssignedIdentityId" si ha creado este recurso para utilizarlo para el cifrado de cuentas de almacenamiento.
Resultado

Tiene un nuevo sistema Cloud Volumes ONTAP configurado para usar su clave gestionada por el cliente para el cifrado de datos.