Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Gestione claves con un proveedor de cloud

Colaboradores
PDF

A partir de ONTAP 9.10.1, puede utilizar "Azure Key Vault (AKV)" y.. "Servicio de gestión de claves de Google Cloud Platform (Cloud KMS)" Para proteger sus claves de cifrado de ONTAP en una aplicación alojada en el cloud. A partir de ONTAP 9.12.0, también puede proteger las claves de NVE con "KMS DE AWS".

AWS KMS, AKV y Cloud KMS se pueden utilizar para proteger "Claves de cifrado de volúmenes de NetApp (NVE)" Solo para SVM de datos.

Acerca de esta tarea

La gestión de claves con un proveedor de cloud se puede habilitar con la interfaz de línea de comandos o la API DE REST DE ONTAP.

Al usar un proveedor de cloud para proteger las claves, tiene en cuenta que de forma predeterminada se usa un LIF SVM de datos para comunicarse con el punto final de gestión de claves de cloud. Una red de gestión de nodos se usa para comunicarse con los servicios de autenticación del proveedor de cloud (login.microsoftonline.com para Azure; oauth2.googleapis.com para Cloud KMS). Si la red de clúster no está configurada correctamente, el clúster no utilizará correctamente el servicio de gestión de claves.

Al utilizar el servicio de gestión de claves de un proveedor de cloud, debe tener en cuenta las siguientes limitaciones:

  • La gestión de claves para proveedores de cloud no está disponible para el cifrado del almacenamiento de NetApp (NSE) y el cifrado de agregados de NetApp (NAE). "KMIP externos" se puede utilizar en su lugar.

  • La gestión de claves para proveedores de cloud no está disponible para las configuraciones de MetroCluster.

  • La gestión de claves del proveedor de cloud solo puede configurarse en una SVM de datos.

Antes de empezar

Habilite la gestión de claves externas

La habilitación de la gestión de claves externas depende del administrador de claves específico que se use. Elija la pestaña del gestor de claves y el entorno adecuados.

AWS
Antes de empezar

  • Debe crear un permiso para la clave KMS de AWS que utilizará el rol de IAM que gestiona el cifrado. El rol de IAM debe incluir una política que permita las siguientes operaciones:

    • DescribeKey

    • Encrypt

    • Decrypt

      Para obtener más información, consulte la documentación de AWS para "subvenciones".

Habilite AWS KMV en una SVM de ONTAP

  1. Antes de comenzar, obtenga tanto el ID de clave de acceso como la clave secreta de su KMS de AWS.

  2. Configure el nivel de privilegio en Advanced:
    set -priv advanced

  3. Habilitar AWS KMS:
    security key-manager external aws enable -vserver svm_name -region AWS_region -key-id key_ID -encryption-context encryption_context

  4. Cuando se le solicite, introduzca la clave secreta.

  5. Confirme que el KMS de AWS se ha configurado correctamente:
    security key-manager external aws show -vserver svm_name

Azure
Habilite Azure Key Vault en una SVM de ONTAP

  1. Antes de empezar, debe obtener las credenciales de autenticación adecuadas de su cuenta de Azure, ya sea un secreto de cliente o un certificado.
    También debe asegurarse de que todos los nodos del clúster estén en buen estado. Puede comprobarlo con el comando cluster show.

  2. Establezca el nivel privilegiado en avanzado
    set -priv advanced

  3. Habilite AKV en el SVM
    security key-manager external azure enable -client-id client_id -tenant-id tenant_id -name -key-id key_id -authentication-method {certificate|client-secret}
    Cuando se le solicite, introduzca el certificado de cliente o el secreto de cliente desde la cuenta de Azure.

  4. Compruebe que AKV está activado correctamente:
    security key-manager external azure show vserver svm_name
    Si la accesibilidad del servicio no es correcta, establezca la conectividad con el servicio de gestión de claves AKV a través del LIF de Data SVM.

Google Cloud
Habilite Cloud KMS en una SVM de ONTAP

  1. Antes de comenzar, obtenga la clave privada para el archivo de claves de cuenta de Google Cloud KMS en formato JSON. Se puede encontrar en su cuenta de GCP.
    También debe asegurarse de que todos los nodos del clúster estén en buen estado. Puede comprobarlo con el comando cluster show.

  2. Defina el nivel con privilegios en avanzado:
    set -priv advanced

  3. Habilite Cloud KMS en la SVM
    security key-manager external gcp enable -vserver svm_name -project-id project_id-key-ring-name key_ring_name -key-ring-location key_ring_location -key-name key_name
    Cuando se le solicite, introduzca el contenido del archivo JSON con la clave privada de cuenta de servicio

  4. Compruebe que Cloud KMS está configurado con los parámetros correctos:
    security key-manager external gcp show vserver svm_name
    El estado de kms_wrapped_key_status será “UNKNOWN” si no se crearon volúmenes cifrados.
    Si la accesibilidad del servicio no es correcta, establezca la conectividad con el servicio de gestión de claves de GCP a través de la LIF de SVM de datos.

Si ya hay uno o más volúmenes cifrados configurados para una SVM de datos y el administrador de claves incorporado de la SVM de administrador gestiona las claves NVE correspondientes, esas claves se deben migrar al servicio de gestión de claves externa. Para hacerlo con la CLI, ejecute el comando:
security key-manager key migrate -from-Vserver admin_SVM -to-Vserver data_SVM
No se pueden crear nuevos volúmenes cifrados para la SVM de datos del inquilino hasta que todas las claves NVE de la SVM de datos se migren correctamente.

Información relacionada