Skip to main content
Tous les fournisseurs cloud
  • Amazon Web Services
  • Google Cloud
  • Microsoft Azure
  • Tous les fournisseurs cloud
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Gérez les clés avec le service de gestion des clés AWS

Contributeurs

Vous pouvez utiliser "Service de gestion des clés (KMS) d'AWS" Pour protéger vos clés de chiffrement ONTAP dans une application déployée par AWS.

La gestion des clés avec le KMS AWS peut être activée via l'interface de ligne de commandes ou l'API REST ONTAP.

Lorsque vous utilisez le KMS, notez que par défaut la LIF d'un SVM de données est utilisée pour communiquer avec le terminal de gestion des clés cloud. Un réseau de gestion des nœuds permet de communiquer avec les services d'authentification d'AWS. Si le réseau de cluster n'est pas configuré correctement, le cluster n'utilisera pas correctement le service de gestion des clés.

Avant de commencer

  • Cloud Volumes ONTAP doit exécuter la version 9.12.0 ou ultérieure

  • Vous devez avoir installé la licence Volume Encryption (VE) et

  • Vous devez avoir installé la licence MTEKM (Multi-tenant Encryption Key Management).

  • Vous devez être un administrateur de cluster ou de SVM

  • Vous devez disposer d'un abonnement AWS actif

Remarque Vous pouvez uniquement configurer les clés d'un SVM de données.

Configuration

AWS

  1. Vous devez créer un "octroi" Il s'agit de la clé KMS AWS qui sera utilisée par le rôle IAM gérant le chiffrement. Le rôle IAM doit inclure une politique permettant les opérations suivantes :

    • DescribeKey

    • Encrypt

    • Decrypt
      Pour créer une subvention, reportez-vous à la section "Documentation AWS".

  2. "Ajouter une règle au rôle IAM approprié." La politique devrait soutenir le DescribeKey, Encrypt, et Decrypt exploitation.

Cloud Volumes ONTAP

  1. Passez à votre environnement Cloud Volumes ONTAP.

  2. Basculer vers le niveau de privilège avancé :
    set -privilege advanced

  3. Activer le gestionnaire de clés AWS :
    security key-manager external aws enable -vserver data_svm_name -region AWS_region -key-id key_ID -encryption-context encryption_context

  4. Lorsque vous y êtes invité, entrez la clé secrète.

  5. Vérifiez que le KMS AWS a été correctement configuré :
    security key-manager external aws show -vserver svm_name