Gestione los administradores de claves externos con System Manager
Sugerir cambios
PDF
A partir de ONTAP 9,7, puede almacenar y administrar claves de autenticación y cifrado con el Administrador de claves integrado. A partir de ONTAP 9.13.1, también es posible usar gestores de claves externos para almacenar y gestionar estas claves.
El gestor de claves incorporado almacena y gestiona claves en una base de datos segura interna del clúster. Su alcance es el cluster. Un gestor de claves externo almacena y gestiona claves fuera del clúster. Su alcance puede ser el clúster o el equipo virtual de almacenamiento. Pueden usarse uno o más administradores de claves externos. Se aplican las siguientes condiciones:
-
Si se habilita el gestor de claves incorporado, no es posible habilitar un gestor de claves externo en el nivel del clúster, pero se puede habilitar en el nivel de máquina virtual de almacenamiento.
-
Si se habilita un gestor de claves externo en el nivel de clúster, no se puede habilitar el administrador de claves incorporado.
Al usar administradores de claves externos, puede registrar hasta cuatro servidores de claves primarios por máquina virtual y clúster de almacenamiento. Cada servidor de claves primario se puede agrupar en clúster con hasta tres servidores de claves secundarios.
Configure un gestor de claves externo
Para añadir un administrador de claves externo para una máquina virtual de almacenamiento, debe añadir una puerta de enlace opcional al configurar la interfaz de red para la máquina virtual de almacenamiento. Si la máquina virtual de almacenamiento se creó sin la ruta de red, deberá crear la ruta explícitamente para el gestor de claves externo. Consulte "Crear una LIF (interfaz de red)".
Es posible configurar un administrador de claves externo comenzando desde distintas ubicaciones de System Manager.
-
Para configurar un gestor de claves externo, realice uno de los siguientes pasos de inicio.
Flujo de trabajo
Navegación
Paso inicial
Configure el Administrador de claves
Clúster > Ajustes
Desplácese a la sección Seguridad. En Cifrado, seleccione
. Seleccione External Key Manager.Agregar nivel local
Almacenamiento > Niveles
Seleccione + Agregar nivel local. Marque la casilla de verificación denominada Configurar Administrador de claves. Seleccione External Key Manager.
Prepare el almacenamiento
Tablero
En la sección Capacidad, selecciona Preparar almacenamiento. A continuación, seleccione Configure Key Manager. Seleccione External Key Manager.
Configurar cifrado (gestor de claves únicamente en el ámbito de la VM de almacenamiento)
Almacenamiento > VM de almacenamiento
Seleccione la máquina virtual de almacenamiento. Seleccione la pestaña Ajustes. En la sección Cifrado en Seguridad, seleccione
. -
Para agregar un servidor de claves principal, seleccione
y complete los campos Dirección IP o Nombre de host y Puerto. -
Los certificados instalados existentes se enumeran en los campos Certificados de CA de servidor KMIP y Certificado de cliente KMIP. Puede realizar cualquiera de las siguientes acciones:
-
Seleccione para seleccionar los certificados instalados que desea asignar al gestor de claves. (Se pueden seleccionar varios certificados de CA de servicio, pero solo se puede seleccionar un certificado de cliente). -
Seleccione Añadir nuevo certificado para agregar un certificado que aún no se haya instalado y asignarlo al administrador de claves externo.
-
Seleccione junto al nombre del certificado para eliminar los certificados instalados que no desea asignar al gestor de claves externo.
-
-
Para agregar un servidor de claves secundario, seleccione Agregar en la columna Servidores de claves secundarios y proporcione sus detalles.
-
Seleccione Guardar para completar la configuración.
Edite un gestor de claves externo existente
Si ya configuró un administrador de claves externo, es posible modificar su configuración.
-
Para editar la configuración de un gestor de claves externo, realice uno de los siguientes pasos de inicio.
Ámbito
Navegación
Paso inicial
Gestor de claves externo de ámbito del clúster
Clúster > Ajustes
Desplácese a la sección Seguridad. En Cifrado, seleccione
y luego seleccione Editar administrador de claves externo.Gestor de claves externo de ámbito de Storage VM
Almacenamiento > VM de almacenamiento
Seleccione la máquina virtual de almacenamiento. Seleccione la pestaña Ajustes. En la sección Cifrado en Seguridad, selecciona
y luego selecciona Editar Administrador de claves externo. -
Los servidores de claves existentes se enumeran en la tabla Servidores de claves. Es posible realizar las siguientes operaciones:
-
Para agregar un nuevo servidor de claves, seleccione
. -
Suprima un servidor de claves seleccionando
al final de la celda de la tabla que contiene el nombre del servidor de claves. Los servidores de claves secundarios asociados con ese servidor de claves primario también se eliminan de la configuración.
-
Elimine un gestor de claves externo
Es posible eliminar un gestor de claves externo si los volúmenes no están cifrados.
-
Para eliminar un gestor de claves externo, realice uno de los siguientes pasos.
Ámbito
Navegación
Paso inicial
Gestor de claves externo de ámbito del clúster
Clúster > Ajustes
Desplácese a la sección Seguridad. En Cifrado, seleccione Seleccionar y
luego seleccione Eliminar Administrador de claves externo.Gestor de claves externo de ámbito de Storage VM
Almacenamiento > VM de almacenamiento
Seleccione la máquina virtual de almacenamiento. Seleccione la pestaña Ajustes. En la sección Cifrado en Seguridad, seleccione
y luego seleccione Eliminar Administrador de claves externo.