Skip to main content
Cloud Volumes ONTAP
Tous les fournisseurs cloud
  • Amazon Web Services
  • Google Cloud
  • Microsoft Azure
  • Tous les fournisseurs cloud
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Gérez les clés de chiffrement Cloud Volumes ONTAP avec Google Cloud KMS

Contributeurs netapp-ahibbard netapp-manini netapp-driley netapp-bcammett netapp-rlithman
PDF

Vous pouvez l'utiliser "Service de gestion des clés (KMS cloud) de Google Cloud Platform" pour protéger vos clés de chiffrement Cloud Volumes ONTAP dans une application déployée sur Google Cloud Platform.

La gestion des clés avec Cloud KMS peut être activée via l'interface de ligne de commandes ONTAP ou l'API REST ONTAP.

Lors de l'utilisation de Cloud KMS, notez que la LIF d'un SVM de données est utilisée par défaut pour communiquer avec le terminal de gestion des clés cloud. Un réseau de gestion de nœuds est utilisé pour communiquer avec les services d'authentification du fournisseur de cloud (oauth2.googleapis.com). Si le réseau de cluster n'est pas configuré correctement, le cluster n'utilisera pas correctement le service de gestion des clés.

Avant de commencer

  • Votre système doit exécuter Cloud Volumes ONTAP 9.10.1 ou une version ultérieure

  • Vous devez utiliser une SVM de données. Cloud KMS ne peut être configuré que sur une SVM de données.

  • Vous devez être un administrateur de cluster ou de SVM

  • La licence Volume Encryption (VE) doit être installée sur le SVM

  • À partir de Cloud Volumes ONTAP 9.12.1 GA, la licence multi-locataire Encryption Key Management (MTEKM) doit également être installée

  • Un abonnement actif à Google Cloud Platform est requis

Configuration

Google Cloud

  1. Dans votre environnement Google Cloud, "Créez une clé et une clé GCP symétriques".

  2. Attribuez un rôle personnalisé à la clé Cloud KMS et au compte de service Cloud Volumes ONTAP.

    1. Créer le rôle personnalisé :

      gcloud iam roles create kmsCustomRole
    --project=<project_id>
    --title=<kms_custom_role_name>
    --description=<custom_role_description>
    --permissions=cloudkms.cryptoKeyVersions.get,cloudkms.cryptoKeyVersions.list,cloudkms.cryptoKeyVersions.useToDecrypt,cloudkms.cryptoKeyVersions.useToEncrypt,cloudkms.cryptoKeys.get,cloudkms.keyRings.get,cloudkms.locations.get,cloudkms.locations.list,resourcemanager.projects.get
    --stage=GA

    2. Attribuez le rôle personnalisé que vous avez créé :
      gcloud kms keys add-iam-policy-binding key_name --keyring key_ring_name --location key_location --member serviceAccount:_service_account_Name_ --role projects/customer_project_id/roles/kmsCustomRole

      Remarque Si vous utilisez Cloud Volumes ONTAP 9.13.0 ou une version ultérieure, vous n'avez pas besoin de créer de rôle personnalisé. Vous pouvez attribuer le rôle prédéfini. [cloudkms.cryptoKeyEncrypterDecrypter ^] rôle.

  3. Télécharger la clé JSON du compte de service :
    gcloud iam service-accounts keys create key-file --iam-account=sa-name@project-id.iam.gserviceaccount.com

Cloud Volumes ONTAP

  1. Connectez-vous à la LIF de gestion du cluster avec votre client SSH préféré.

  2. Basculer vers le niveau de privilège avancé :
    set -privilege advanced

  3. Créer un DNS pour le SVM de données.
    dns create -domains c.<project>.internal -name-servers server_address -vserver SVM_name

  4. Créer une entrée CMEK :
    security key-manager external gcp enable -vserver SVM_name -project-id project -key-ring-name key_ring_name -key-ring-location key_ring_location -key-name key_name

  5. Lorsque vous y êtes invité, entrez la clé JSON de compte de service de votre compte GCP.

  6. Confirmer que le processus activé a réussi :
    security key-manager external gcp check -vserver svm_name

  7. FACULTATIF : créez un volume pour tester le chiffrement vol create volume_name -aggregate aggregate -vserver vserver_name -size 10G

Résoudre les problèmes

Si vous avez besoin d'effectuer un dépannage, vous pouvez queue les journaux d'API REST bruts dans les deux dernières étapes ci-dessus :

  1. set d

  2. systemshell -node node -command tail -f /mroot/etc/log/mlog/kmip2_client.log