Skip to main content
Tous les fournisseurs cloud
  • Amazon Web Services
  • Google Cloud
  • Microsoft Azure
  • Tous les fournisseurs cloud
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Configuration de Cloud Volumes ONTAP pour utiliser une clé gérée par le client dans Azure

Contributeurs

Les données sont automatiquement chiffrées sur Cloud Volumes ONTAP dans Azure à l'aide de "Chiffrement de service de stockage Azure" Et elle est dotée d'une clé gérée par Microsoft. Mais vous pouvez utiliser votre propre clé de cryptage en suivant les étapes de cette page.

Présentation du chiffrement des données

Les données Cloud Volumes ONTAP sont automatiquement chiffrées dans Azure à l'aide de "Chiffrement de service de stockage Azure". L'implémentation par défaut utilise une clé gérée par Microsoft. Aucune configuration n'est requise.

Pour utiliser une clé gérée par le client avec Cloud Volumes ONTAP, vous devez effectuer les opérations suivantes :

  1. Depuis Azure, créez un coffre-fort de clés, puis générez une clé dans ce coffre-fort

  2. Depuis BlueXP, utilisez l'API pour créer un environnement de travail Cloud Volumes ONTAP qui utilise la clé

Rotation des clés

Si vous créez une nouvelle version de votre clé, Cloud Volumes ONTAP utilise automatiquement la dernière version de la clé.

Mode de cryptage des données

BlueXP utilise un jeu de chiffrement de disque qui permet de gérer les clés de chiffrement avec des disques gérés et non des objets blob de page. Les nouveaux disques de données utilisent également le même jeu de cryptage de disque. Les versions inférieures utilisent une clé gérée par Microsoft au lieu de la clé gérée par le client.

Après avoir créé un environnement de travail Cloud Volumes ONTAP configuré pour utiliser une clé gérée par le client, les données Cloud Volumes ONTAP sont chiffrées comme suit.

Configuration Cloud Volumes ONTAP Disques système utilisés pour le chiffrement de clé Disques de données utilisés pour le chiffrement de clé

Un seul nœud

  • Démarrage

  • Cœur

  • NVRAM

  • Racine

  • Les données

Zone de disponibilité unique Azure HA avec blobs de page

  • Démarrage

  • Cœur

  • NVRAM

Aucune

Zone de disponibilité unique Azure HA avec des disques gérés partagés

  • Démarrage

  • Cœur

  • NVRAM

  • Racine

  • Les données

Azure HA offre plusieurs zones de disponibilité avec des disques gérés partagés

  • Démarrage

  • Cœur

  • NVRAM

  • Racine

  • Les données

Tous les comptes de stockage Azure pour Cloud Volumes ONTAP sont chiffrés à l'aide d'une clé gérée par le client. Pour chiffrer vos comptes de stockage pendant leur création, vous devez créer et fournir l'ID de la ressource dans la demande de création CVO. Cela s'applique à tous les types de déploiements. Si vous ne le fournissez pas, les comptes de stockage seront toujours cryptés, mais BlueXP créera d'abord les comptes de stockage avec cryptage de clé géré par Microsoft, puis mettra à jour les comptes de stockage pour utiliser la clé gérée par le client.

Créez une identité gérée attribuée par l'utilisateur

Vous avez la possibilité de créer une ressource appelée identité gérée attribuée par l'utilisateur. Vous pouvez ainsi chiffrer vos comptes de stockage lorsque vous créez un environnement de travail Cloud Volumes ONTAP. Nous vous recommandons de créer cette ressource avant de créer un coffre-fort de clés et de générer une clé.

La ressource a l'ID suivant : userassignedidentity.

Étapes

  1. Dans Azure, accédez aux services Azure et sélectionnez identités gérées.

  2. Cliquez sur Créer.

  3. Fournissez les informations suivantes :

    • Abonnement : choisissez un abonnement. Nous vous recommandons de choisir le même abonnement que l'abonnement Connector.

    • Groupe de ressources : utilisez un groupe de ressources existant ou créez-en un nouveau.

    • Région : sélectionnez éventuellement la même région que le connecteur.

    • Nom : entrez un nom pour la ressource.

  4. Si vous le souhaitez, ajoutez des balises.

  5. Cliquez sur Créer.

Créez un coffre-fort de clés et générez une clé

Le coffre-fort de clés doit résider dans la même région et l'abonnement Azure dans laquelle vous prévoyez de créer le système Cloud Volumes ONTAP.

Si vous créé une identité gérée attribuée par l'utilisateur, lors de la création du coffre-fort de clés, vous devez également créer une stratégie d'accès pour le coffre-fort de clés.

Étapes

  1. "Créez un coffre-fort de clés dans votre abonnement Azure".

    Notez les exigences suivantes pour le coffre-fort de clés :

    • Le coffre-fort de clés doit résider dans la même région que le système Cloud Volumes ONTAP.

    • Les options suivantes doivent être activées :

      • Soft-delete (cette option est activée par défaut, mais doit not être désactivée)

      • Protection de purge

      • Chiffrement de disque Azure pour chiffrement de volume (pour les systèmes à un seul nœud ou les paires HA dans plusieurs zones)

    • L'option suivante doit être activée si vous avez créé une identité gérée attribuée par l'utilisateur :

      • Politique d'accès au coffre-fort

  2. Si vous avez sélectionné la règle d'accès au coffre-fort, cliquez sur Créer pour créer une règle d'accès pour le coffre-fort de clés. Si ce n'est pas le cas, passez à l'étape 3.

    1. Sélectionnez les autorisations suivantes :

      • obtenez

      • liste

      • déchiffrement

      • chiffrer

      • touche de déroulage

      • touche wrap

      • la vérification

      • signe

    2. Sélectionnez l'identité gérée (ressource) attribuée par l'utilisateur comme principal.

    3. Révision et création de la stratégie d'accès.

  3. "Générez une clé dans le coffre-fort de clés".

    Notez les exigences suivantes pour la clé :

    • Le type de clé doit être RSA.

    • La taille de clé RSA recommandée est 2048, mais d'autres tailles sont prises en charge.

Créez un environnement de travail qui utilise la clé de cryptage

Après avoir créé le coffre-fort de clés et généré une clé de cryptage, vous pouvez créer un nouveau système Cloud Volumes ONTAP configuré pour utiliser la clé. Ces étapes sont prises en charge à l'aide de l'API BlueXP.

Autorisations requises

Si vous souhaitez utiliser une clé gérée par le client avec un système Cloud Volumes ONTAP à un seul nœud, assurez-vous que le connecteur BlueXP dispose des autorisations suivantes :

"Microsoft.Compute/diskEncryptionSets/read",
"Microsoft.Compute/diskEncryptionSets/write",
"Microsoft.Compute/diskEncryptionSets/delete"
"Microsoft.KeyVault/vaults/deploy/action",
"Microsoft.KeyVault/vaults/read",
"Microsoft.KeyVault/vaults/accessPolicies/write",
"Microsoft.ManagedIdentity/userAssignedIdentities/assign/action"

"Affichez la liste des autorisations les plus récentes"

Étapes

  1. Obtenez la liste des coffres-forts de clés dans votre abonnement Azure en utilisant l'appel d'API BlueXP suivant.

    Pour une paire haute disponibilité : GET /azure/ha/metadata/vaults

    Pour un seul nœud : GET /azure/vsa/metadata/vaults

    Notez les name et ResourceGroup. Vous devrez spécifier ces valeurs à l'étape suivante.

    "En savoir plus sur cet appel d'API".

  2. Obtenez la liste des clés dans le coffre-fort à l'aide de l'appel d'API BlueXP suivant.

    Pour une paire haute disponibilité : GET /azure/ha/metadata/keys-vault

    Pour un seul nœud : GET /azure/vsa/metadata/keys-vault

    Notez le keyName. Vous devrez spécifier cette valeur (avec le nom du coffre-fort) à l'étape suivante.

    "En savoir plus sur cet appel d'API".

  3. Créez un système Cloud Volumes ONTAP à l'aide de l'appel d'API BlueXP suivant.

    1. Pour une paire haute disponibilité :

      POST /azure/ha/working-environments

      Le corps de la demande doit inclure les champs suivants :

      "azureEncryptionParameters": {
              "key": "keyName",
              "vaultName": "vaultName"
}
      Remarque Incluez le "userAssignedIdentity": " userAssignedIdentityId" si vous avez créé cette ressource à utiliser pour le cryptage du compte de stockage.

      "En savoir plus sur cet appel d'API".

    2. Pour un système à un seul nœud :

      POST /azure/vsa/working-environments

      Le corps de la demande doit inclure les champs suivants :

      "azureEncryptionParameters": {
              "key": "keyName",
              "vaultName": "vaultName"
}
      Remarque Incluez le "userAssignedIdentity": " userAssignedIdentityId" si vous avez créé cette ressource à utiliser pour le cryptage du compte de stockage.

    "En savoir plus sur cet appel d'API".

Résultat

Un nouveau système Cloud Volumes ONTAP est configuré pour utiliser la clé gérée par le client pour le chiffrement des données.