Skip to main content
Todos los proveedores de nube
  • Servicios web de Amazon
  • Google Cloud
  • Microsoft Azure
  • Todos los proveedores de nube
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Administrar claves de cifrado de Cloud Volumes ONTAP con Google Cloud KMS

Colaboradores netapp-manini
PDF

Puedes utilizar"Servicio de administración de claves de Google Cloud Platform (Cloud KMS)" para proteger sus claves de cifrado de Cloud Volumes ONTAP en una aplicación implementada en Google Cloud Platform.

La administración de claves con Cloud KMS se puede habilitar con la CLI de ONTAP o la API REST de ONTAP .

Al utilizar Cloud KMS, tenga en cuenta que, de forma predeterminada, se utiliza el LIF de una SVM de datos para comunicarse con el punto final de administración de claves en la nube. Se utiliza una red de administración de nodos para comunicarse con los servicios de autenticación del proveedor de la nube (oauth2.googleapis.com). Si la red del clúster no está configurada correctamente, el clúster no utilizará adecuadamente el servicio de administración de claves.

Antes de empezar

  • Su sistema debe ejecutar Cloud Volumes ONTAP 9.10.1 o posterior

  • Debe utilizar un SVM de datos. Cloud KMS solo se puede configurar en un SVM de datos.

  • Debe ser un administrador de clúster o SVM

  • La licencia de cifrado de volumen (VE) debe estar instalada en el SVM

  • A partir de Cloud Volumes ONTAP 9.12.1 GA, también se debe instalar la licencia de administración de claves de cifrado multiinquilino (MTEKM)

  • Se requiere una suscripción activa a Google Cloud Platform

Configuración

Google Cloud

  1. En su entorno de Google Cloud,"crear un llavero y una clave GCP simétricos" .

  2. Asigne una función personalizada a la clave Cloud KMS y a la cuenta de servicio Cloud Volumes ONTAP .

    1. Crear el rol personalizado:

      gcloud iam roles create kmsCustomRole
    --project=<project_id>
    --title=<kms_custom_role_name>
    --description=<custom_role_description>
    --permissions=cloudkms.cryptoKeyVersions.get,cloudkms.cryptoKeyVersions.list,cloudkms.cryptoKeyVersions.useToDecrypt,cloudkms.cryptoKeyVersions.useToEncrypt,cloudkms.cryptoKeys.get,cloudkms.keyRings.get,cloudkms.locations.get,cloudkms.locations.list,resourcemanager.projects.get
    --stage=GA

    2. Asigna el rol personalizado que creaste:
      gcloud kms keys add-iam-policy-binding key_name --keyring key_ring_name --location key_location --member serviceAccount:_service_account_Name_ --role projects/customer_project_id/roles/kmsCustomRole

      Nota Si utiliza Cloud Volumes ONTAP 9.13.0 o posterior, no necesita crear una función personalizada. Puede asignar los valores predefinidos[cloudkms.cryptoKeyEncrypterDecrypter ^] papel.

  3. Descargar la clave JSON de la cuenta de servicio:
    gcloud iam service-accounts keys create key-file --iam-account=sa-name@project-id.iam.gserviceaccount.com

Cloud Volumes ONTAP

  1. Conéctese al LIF de administración del clúster con su cliente SSH preferido.

  2. Cambiar al nivel de privilegio avanzado:
    set -privilege advanced

  3. Cree un DNS para los datos SVM.
    dns create -domains c.<project>.internal -name-servers server_address -vserver SVM_name

  4. Crear entrada CMEK:
    security key-manager external gcp enable -vserver SVM_name -project-id project -key-ring-name key_ring_name -key-ring-location key_ring_location -key-name key_name

  5. Cuando se le solicite, ingrese la clave JSON de la cuenta de servicio de su cuenta de GCP.

  6. Confirme que el proceso habilitado se realizó correctamente:
    security key-manager external gcp check -vserver svm_name

  7. OPCIONAL: Cree un volumen para probar el cifrado vol create volume_name -aggregate aggregate -vserver vserver_name -size 10G

Solución de problemas

Si necesita solucionar problemas, puede seguir los registros de la API REST sin procesar en los dos últimos pasos anteriores:

  1. set d

  2. systemshell -node node -command tail -f /mroot/etc/log/mlog/kmip2_client.log