Skip to main content
Tous les fournisseurs cloud
  • Amazon Web Services
  • Google Cloud
  • Microsoft Azure
  • Tous les fournisseurs cloud
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Gérez les clés à l'aide du service Cloud Key Management de Google

Contributeurs
PDF

Vous pouvez utiliser "Service de gestion des clés (KMS cloud) de Google Cloud Platform" Pour protéger vos clés de chiffrement ONTAP dans une application déployée sur Google Cloud Platform.

La gestion des clés avec Cloud KMS peut être activée via l'interface de ligne de commandes ONTAP ou l'API REST ONTAP.

Lors de l'utilisation de Cloud KMS, notez que la LIF d'un SVM de données est utilisée par défaut pour communiquer avec le terminal de gestion des clés cloud. Un réseau de gestion de nœuds est utilisé pour communiquer avec les services d'authentification du fournisseur de cloud (oauth2.googleapis.com). Si le réseau de cluster n'est pas configuré correctement, le cluster n'utilisera pas correctement le service de gestion des clés.

Avant de commencer

  • Cloud Volumes ONTAP doit exécuter la version 9.10.1 ou ultérieure

  • Licence VE (Volume Encryption) installée

  • Licence MTEKM (Encryption Key Management) mutualisée installée, à partir de Cloud Volumes ONTAP 9.12.1 GA.

  • Vous devez être un administrateur de cluster ou de SVM

  • Un abonnement actif à Google Cloud Platform

Limites

  • Cloud KMS peut uniquement être configuré sur un SVM de données

Configuration

Google Cloud

  1. Dans votre environnement Google Cloud, "Créez une clé et une clé GCP symétriques".

  2. Créez un rôle personnalisé pour votre compte de service Cloud Volumes ONTAP.

    gcloud iam roles create kmsCustomRole
    --project=<project_id>
    --title=<kms_custom_role_name>
    --description=<custom_role_description>
    --permissions=cloudkms.cryptoKeyVersions.get,cloudkms.cryptoKeyVersions.list,cloudkms.cryptoKeyVersions.useToDecrypt,cloudkms.cryptoKeyVersions.useToEncrypt,cloudkms.cryptoKeys.get,cloudkms.keyRings.get,cloudkms.locations.get,cloudkms.locations.list,resourcemanager.projects.get
    --stage=GA

  3. Attribuez le rôle personnalisé à la clé KMS cloud et au compte de service Cloud Volumes ONTAP :
    gcloud kms keys add-iam-policy-binding key_name --keyring key_ring_name --location key_location --member serviceAccount:_service_account_Name_ --role projects/customer_project_id/roles/kmsCustomRole

  4. Télécharger la clé JSON du compte de service :
    gcloud iam service-accounts keys create key-file --iam-account=sa-name@project-id.iam.gserviceaccount.com

Cloud Volumes ONTAP

  1. Connectez-vous à la LIF de gestion du cluster avec votre client SSH préféré.

  2. Basculer vers le niveau de privilège avancé :
    set -privilege advanced

  3. Créer un DNS pour le SVM de données.
    dns create -domains c.<project>.internal -name-servers server_address -vserver SVM_name

  4. Créer une entrée CMEK :
    security key-manager external gcp enable -vserver SVM_name -project-id project -key-ring-name key_ring_name -key-ring-location key_ring_location -key-name key_name

  5. Lorsque vous y êtes invité, entrez la clé JSON de compte de service de votre compte GCP.

  6. Confirmer que le processus activé a réussi :
    security key-manager external gcp check -vserver svm_name

  7. FACULTATIF : créez un volume pour tester le chiffrement vol create volume_name -aggregate aggregate -vserver vserver_name -size 10G

Résoudre les problèmes

Si vous avez besoin d'effectuer un dépannage, vous pouvez queue les journaux d'API REST bruts dans les deux dernières étapes ci-dessus :

  1. set d

  2. systemshell -node node -command tail -f /mroot/etc/log/mlog/kmip2_client.log