Skip to main content
Todos los proveedores de cloud
  • Amazon Web Services
  • Google Cloud
  • Microsoft Azure
  • Todos los proveedores de cloud
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Configuración de AWS KMS

Colaboradores

Si desea usar el cifrado de Amazon con Cloud Volumes ONTAP, debe configurar el servicio de gestión de claves (KMS) de AWS.

Pasos
  1. Asegúrese de que existe una clave maestra de cliente (CMK) activa.

    El CMK puede ser un CMK gestionado por AWS o un CMK gestionado por el cliente. Puede estar en la misma cuenta de AWS que BlueXP y Cloud Volumes ONTAP o en una cuenta diferente de AWS.

  2. Modifique la política de clave para cada CMK agregando la función IAM que proporciona permisos a BlueXP como Key user.

    La adición de la función IAM como usuario clave permite a BlueXP utilizar el CMK con Cloud Volumes ONTAP.

  3. Si el CMK se encuentra en una cuenta de AWS diferente, realice los pasos siguientes:

    1. Vaya a la consola KMS desde la cuenta donde reside el CMK.

    2. Seleccione la tecla.

    3. En el panel Configuración general, copie el ARN de la clave.

      Deberá proporcionar el ARN a BlueXP cuando cree el sistema Cloud Volumes ONTAP.

    4. En el panel otras cuentas de AWS, agregue la cuenta de AWS que proporciona permisos a BlueXP.

      En la mayoría de los casos, esta es la cuenta en la que reside BlueXP. Si BlueXP no estaba instalada en AWS, sería la cuenta para la que proporcionaste claves de acceso de AWS a BlueXP.

      Esta captura de pantalla muestra el botón «Agregar otras cuentas de AWS» de la consola KMS de AWS.

      Esta captura de pantalla muestra el cuadro de diálogo "otras cuentas de AWS" de la consola de AWS KMS.

    5. Ahora cambie a la cuenta de AWS que proporciona permisos a BlueXP y abra la consola IAM.

    6. Cree una política de IAM que incluya los permisos que se indican a continuación.

    7. Adjunte la directiva al rol IAM o al usuario IAM que proporciona permisos a BlueXP.

      La siguiente directiva proporciona los permisos que BlueXP necesita para utilizar el CMK desde la cuenta de AWS externa. Asegúrese de modificar la región y el ID de cuenta en las secciones "Recursos".

    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Sid": "AllowUseOfTheKey",
                "Effect": "Allow",
                "Action": [
                    "kms:Encrypt",
                    "kms:Decrypt",
                    "kms:ReEncrypt*",
                    "kms:GenerateDataKey*",
                    "kms:DescribeKey"
                ],
                "Resource": [
                    "arn:aws:kms:us-east-1:externalaccountid:key/externalkeyid"
                ]
            },
            {
                "Sid": "AllowAttachmentOfPersistentResources",
                "Effect": "Allow",
                "Action": [
                    "kms:CreateGrant",
                    "kms:ListGrants",
                    "kms:RevokeGrant"
                ],
                "Resource": [
                    "arn:aws:kms:us-east-1:externalaccountid:key/externalaccountid"
                ],
                "Condition": {
                    "Bool": {
                        "kms:GrantIsForAWSResource": true
                    }
                }
            }
        ]
    }

    +
    Para obtener más información sobre este proceso, consulte "Documentación de AWS: Permitir que los usuarios de otras cuentas usen una clave KMS".

  4. Si está utilizando un CMK gestionado por el cliente, modifique la política de clave del CMK agregando el rol Cloud Volumes ONTAP IAM como Key USER.

    Este paso es necesario si habilitó la organización en niveles de datos en Cloud Volumes ONTAP y desea cifrar los datos almacenados en el bloque de S3.

    Deberá realizar este paso After implementa Cloud Volumes ONTAP porque se crea la función IAM al crear un entorno de trabajo. (Por supuesto, tiene la opción de utilizar la función de IAM de Cloud Volumes ONTAP existente, de modo que es posible realizar este paso antes).