Administre las claves de cifrado de Cloud Volumes ONTAP con AWS Key Management Service
Puedes utilizar"Servicio de administración de claves (KMS) de AWS" para proteger sus claves de cifrado ONTAP en una aplicación implementada por AWS.
La administración de claves con AWS KMS se puede habilitar con la CLI o la API REST de ONTAP .
Al utilizar el KMS, tenga en cuenta que, de forma predeterminada, se utiliza el LIF de una SVM de datos para comunicarse con el punto final de administración de claves en la nube. Se utiliza una red de administración de nodos para comunicarse con los servicios de autenticación de AWS. Si la red del clúster no está configurada correctamente, el clúster no utilizará adecuadamente el servicio de administración de claves.
-
Cloud Volumes ONTAP debe ejecutar la versión 9.12.0 o posterior
-
Debe tener instalada la licencia de Volume Encryption (VE) y
-
Debe tener instalada la licencia de Administración de claves de cifrado de múltiples inquilinos (MTEKM).
-
Debe ser administrador de clúster o SVM
-
Debe tener una suscripción activa a AWS
|
Sólo se pueden configurar claves para un SVM de datos. |
Configuración
-
Debes crear un"conceder" para la clave AWS KMS que utilizará la función IAM que administra el cifrado. El rol de IAM debe incluir una política que permita las siguientes operaciones:
-
DescribeKey
-
Encrypt
-
`Decrypt`Para crear una subvención, consulte"Documentación de AWS" .
-
-
"Agregue una política al rol de IAM apropiado."La política debe apoyar la
DescribeKey
,Encrypt
, yDecrypt
operaciones.
-
Cambie a su entorno de Cloud Volumes ONTAP .
-
Cambiar al nivel de privilegio avanzado:
set -privilege advanced
-
Habilite el administrador de claves de AWS:
security key-manager external aws enable -vserver data_svm_name -region AWS_region -key-id key_ID -encryption-context encryption_context
-
Cuando se le solicite, ingrese la clave secreta.
-
Confirme que AWS KMS se configuró correctamente:
security key-manager external aws show -vserver svm_name