Configuration du système AWS KMS
Si vous souhaitez utiliser le chiffrement Amazon avec Cloud Volumes ONTAP, vous devez configurer le service AWS Key Management Service (KMS).
-
S'assurer qu'une clé principale client (CMK) active existe.
La CMK peut être une CMK gérée par AWS ou une CMK gérée par le client. Il peut se trouver dans le même compte AWS que BlueXP et Cloud Volumes ONTAP ou dans un autre compte AWS.
-
Modifiez la stratégie clé pour chaque CMK en ajoutant le rôle IAM qui fournit des autorisations à BlueXP en tant qu'utilisateur key.
L'ajout du rôle IAM en tant qu'utilisateur principal donne aux autorisations BlueXP d'utiliser le CMK avec Cloud Volumes ONTAP.
-
Si le CMK se trouve dans un autre compte AWS, procédez comme suit :
-
Accédez à la console KMS à partir du compte où réside la CMK.
-
Sélectionnez la touche.
-
Dans le volet Configuration générale, copiez l'ARN de la clé.
Vous devrez fournir l'ARN à BlueXP lorsque vous créez le système Cloud Volumes ONTAP.
-
Dans le volet autres comptes AWS, ajoutez le compte AWS qui fournit des autorisations BlueXP.
Dans la plupart des cas, c'est le compte où réside BlueXP. Si BlueXP n'était pas installé dans AWS, ce serait le compte pour lequel vous avez fourni les clés d'accès AWS à BlueXP.
-
Passez maintenant au compte AWS qui fournit des autorisations BlueXP et ouvrez la console IAM.
-
Créez une stratégie IAM qui inclut les autorisations répertoriées ci-dessous.
-
Associez la politique au rôle IAM ou à l'utilisateur IAM qui fournit des autorisations à BlueXP.
La stratégie suivante fournit les autorisations dont BlueXP a besoin pour utiliser CMK à partir du compte AWS externe. Veillez à modifier la région et l'ID de compte dans les sections « ressource ».
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowUseOfTheKey", "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:us-east-1:externalaccountid:key/externalkeyid" ] }, { "Sid": "AllowAttachmentOfPersistentResources", "Effect": "Allow", "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": [ "arn:aws:kms:us-east-1:externalaccountid:key/externalaccountid" ], "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ] }
+
Pour plus de détails sur ce processus, reportez-vous au "Documentation AWS : possibilité pour les utilisateurs d'autres comptes d'utiliser une clé KMS". -
-
Si vous utilisez un CMK géré par le client, modifiez la stratégie clé pour le CMK en ajoutant le rôle IAM Cloud Volumes ONTAP en tant qu'utilisateur key.
Cette étape est nécessaire si le Tiering des données sur Cloud Volumes ONTAP est activé et que vous souhaitez chiffrer les données stockées dans le compartiment S3.
Vous devrez effectuer cette étape After déployer Cloud Volumes ONTAP car le rôle IAM est créé lorsque vous créez un environnement de travail. (Bien sûr, vous avez la possibilité d'utiliser un rôle IAM Cloud Volumes ONTAP existant afin d'effectuer cette étape auparavant.)