Gérez des gestionnaires de clés externes avec System Manager
Suggérer des modifications
PDF
À partir de la version ONTAP 9.7, vous pouvez stocker et gérer les clés d'authentification et de chiffrement à l'aide du gestionnaire de clés intégré. À partir de ONTAP 9.13.1, vous pouvez également utiliser des gestionnaires de clés externes pour stocker et gérer ces clés.
Le gestionnaire de clés intégré stocke et gère les clés dans une base de données sécurisée interne au cluster. L'étendue du cluster est celle-ci. Un gestionnaire de clés externe stocke et gère les clés à l'extérieur du cluster. Il peut s'agir du cluster ou de la VM de stockage. Un ou plusieurs gestionnaires de clés externes peuvent être utilisés. Les conditions suivantes s'appliquent :
-
Si le gestionnaire de clés intégré est activé, un gestionnaire de clés externe ne peut pas être activé au niveau du cluster, mais il peut être activé au niveau de la VM de stockage.
-
Si un gestionnaire de clés externe est activé au niveau du cluster, le gestionnaire de clés intégré ne peut pas être activé.
Lorsque vous utilisez des gestionnaires de clés externes, vous pouvez enregistrer jusqu'à quatre serveurs de clés principaux par machine virtuelle de stockage et par cluster. Chaque serveur de clés principal peut être mis en cluster avec jusqu'à trois serveurs de clés secondaires.
Configurez un gestionnaire de clés externe
Pour ajouter un gestionnaire de clés externe à une VM de stockage, il est conseillé d'ajouter une passerelle en option lors de la configuration de l'interface réseau de la VM de stockage. Si la machine virtuelle de stockage a été créée sans la route réseau, vous devrez créer la route explicitement pour le gestionnaire de clés externe. Voir "Créer une LIF (interface réseau)".
Vous pouvez configurer un gestionnaire de clés externe à partir de différents emplacements dans System Manager.
-
Pour configurer un gestionnaire de clés externe, effectuez l'une des étapes de démarrage suivantes.
Flux de travail
Navigation
Étape de départ
Configurer le gestionnaire de clés
Cluster > Paramètres
Accédez à la section sécurité. Sous cryptage, sélectionnez
. Sélectionnez Gestionnaire de clés externe.Ajouter un niveau local
Stockage > niveaux
Sélectionnez + Ajouter un niveau local. Cochez la case « configurer le gestionnaire de clés ». Sélectionnez Gestionnaire de clés externe.
Préparez le stockage
Tableau de bord
Dans la section capacité, sélectionnez préparer le stockage. Sélectionnez ensuite « configurer le gestionnaire de clés ». Sélectionnez Gestionnaire de clés externe.
Configuration du chiffrement (gestionnaire de clés dans le périmètre de la VM de stockage uniquement)
Stockage > machines virtuelles de stockage
Sélectionnez la VM de stockage. Sélectionnez l'onglet Paramètres. Dans la section cryptage sous sécurité, sélectionnez
. -
Pour ajouter un serveur de clés principal, sélectionnez
et renseignez les champs adresse IP ou Nom d'hôte et Port. -
Les certificats installés existants sont répertoriés dans les champs KMIP Server CA Certificates et KMIP client Certificate. Vous pouvez effectuer l'une des actions suivantes :
-
Sélectionnez
cette option pour sélectionner les certificats installés que vous souhaitez mapper au gestionnaire de clés. (Plusieurs certificats d'autorité de certification de service peuvent être sélectionnés, mais un seul certificat client peut être sélectionné.) -
Sélectionnez Ajouter un nouveau certificat pour ajouter un certificat qui n'a pas encore été installé et le mapper au gestionnaire de clés externe.
-
Sélectionnez
en regard du nom du certificat pour supprimer les certificats installés que vous ne souhaitez pas mapper au gestionnaire de clés externe.
-
-
Pour ajouter un serveur de clés secondaire, sélectionnez Ajouter dans la colonne Secondary Key Servers et fournissez ses détails.
-
Sélectionnez Enregistrer pour terminer la configuration.
Modifier un gestionnaire de clés externe existant
Si vous avez déjà configuré un gestionnaire de clés externe, vous pouvez modifier ses paramètres.
-
Pour modifier la configuration d'un gestionnaire de clés externe, effectuez l'une des étapes de démarrage suivantes.
Portée
Navigation
Étape de départ
Gestionnaire de clés externe de l'étendue du cluster
Cluster > Paramètres
Accédez à la section sécurité. Sous Encryption, sélectionnez
, puis Edit External Key Manager.Périmètre de l'ordinateur virtuel de stockage gestionnaire de clés externe
Stockage > machines virtuelles de stockage
Sélectionnez la VM de stockage. Sélectionnez l'onglet Paramètres. Dans la section Encryption sous Security, sélectionnez
, puis Edit External Key Manager. -
Les serveurs de clés existants sont répertoriés dans le tableau Key Servers. Vous pouvez effectuer les opérations suivantes :
-
Ajoutez un nouveau serveur de clés en sélectionnant
. -
Supprimez un serveur de clés en sélectionnant
à la fin de la cellule de table contenant le nom du serveur de clés. Les serveurs de clés secondaires associés à ce serveur de clés principal sont également supprimés de la configuration.
-
Supprimez un gestionnaire de clés externe
Un gestionnaire de clés externe peut être supprimé si les volumes sont non chiffrés.
-
Pour supprimer un gestionnaire de clés externe, effectuez l'une des opérations suivantes.
Portée
Navigation
Étape de départ
Gestionnaire de clés externe de l'étendue du cluster
Cluster > Paramètres
Accédez à la section sécurité. Sous Encryption, sélectionnez SELECT
, puis Delete External Key Manager.Périmètre de l'ordinateur virtuel de stockage gestionnaire de clés externe
Stockage > machines virtuelles de stockage
Sélectionnez la VM de stockage. Sélectionnez l'onglet Paramètres. Dans la section Encryption sous Security, sélectionnez
, puis Delete External Key Manager.