Skip to main content
Element Software
Une version plus récente de ce produit est disponible.
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Configurez la gestion externe des clés

Contributeurs
PDF

Procédez comme suit et utilisez les méthodes de l'API Element répertoriées pour configurer votre fonctionnalité de gestion externe des clés.

Ce dont vous avez besoin

  • Si vous configurez la gestion externe des clés en association avec le chiffrement logiciel au repos, vous avez activé le chiffrement logiciel au repos à l'aide de la "CreateCluster" méthode sur un nouveau cluster qui ne contient pas de volumes.

Étapes

  1. Établissez une relation de confiance avec le serveur de clés externe (EKS).

    1. Créez une paire de clés publique/privée pour le cluster Element utilisé pour établir une relation de confiance avec le serveur de clés en appelant la méthode API suivante : "CreatePublicPrivateKeypair"

    2. Obtenir la demande de signature de certificat (CSR) que l'autorité de certification doit signer. La RSC permet au serveur de clés de vérifier que le cluster d'éléments qui accédera aux clés est authentifié comme cluster d'éléments. Appelez la méthode API suivante : "GetClientCertificateSignRequest"

    3. Utilisez EKS/Certificate Authority pour signer la RSC récupérée. Pour plus d'informations, consultez la documentation d'un fournisseur tiers.

  2. Créez un serveur et un fournisseur sur le cluster pour communiquer avec EKS. Un fournisseur clé définit l'endroit où une clé doit être obtenue et un serveur définit les attributs spécifiques de l'EKS qui seront communiqués.

    1. Créez un fournisseur de clés dans lequel résideront les informations du serveur de clés en appelant la méthode API suivante : "CreateKeyProviderKmip"

    2. Créez un serveur de clés fournissant le certificat signé et le certificat de clé publique de l'autorité de certification en appelant les méthodes API suivantes : "CreateKeyServerKmip" "TestKeyServerKmip"

      Si le test échoue, vérifiez la connectivité et la configuration de votre serveur. Répétez ensuite le test.

    3. Ajoutez le serveur de clés dans le conteneur du fournisseur de clés en appelant les méthodes API suivantes : "AddKeyServerToProviderKmip" "TestKeyProviderKmip"

      Si le test échoue, vérifiez la connectivité et la configuration de votre serveur. Répétez ensuite le test.

  3. Pour le chiffrement au repos, effectuez l'une des opérations suivantes :

    1. (Pour le chiffrement matériel au repos) activez "chiffrement matériel au repos" en fournissant l'ID du fournisseur de clés qui contient le serveur de clés utilisé pour stocker les clés en appelant "EnableEncryptionAtRest"la méthode API.

      Remarque Vous devez activer le chiffrement au repos via "API". L'activation du chiffrement au repos à l'aide du bouton de l'interface utilisateur d'Element entraîne la restauration de la fonctionnalité à l'aide de clés générées en interne.

    2. (Pour le chiffrement logiciel au repos) pour que "chiffrement logiciel pour les données au repos" puisse utiliser le nouveau fournisseur de clés créé, transmettez l'ID du fournisseur de clés à la "RekeySoftwareEncryptionAtResteMasterKey"méthode API.

Trouvez plus d'informations