Notes de mise à jour
Gérer les clés avec un fournisseur cloud dans ONTAP
Suggérer des modifications
PDF
Depuis la version ONTAP 9.10.1, vous pouvez utiliser "Azure Key Vault (AKV)" et "Service de gestion des clés (KMS cloud) de Google Cloud Platform"protéger vos clés de chiffrement ONTAP dans une application hébergée dans le cloud. Depuis la version ONTAP 9.12.0, vous pouvez également protéger les clés NVE avec "KMS D'AWS".
Vous pouvez utiliser AWS KMS, AKV et Cloud KMS pour protéger les données "Clés NetApp Volume Encryption (NVE)" Uniquement pour les SVM de données.
La gestion des clés avec un fournisseur cloud peut être activée via l'interface de ligne de commandes ou l'API REST ONTAP.
Lorsque vous utilisez un fournisseur cloud pour protéger vos clés, sachez que par défaut, une LIF de SVM de données communique avec le terminal de gestion des clés cloud. Un réseau de gestion de nœuds est utilisé pour communiquer avec les services d'authentification du fournisseur cloud (login.microsoftonline.com pour Azure ; oauth2.googleapis.com pour le Cloud KMS). Si le réseau de cluster n'est pas configuré correctement, le cluster n'utilisera pas correctement le service de gestion des clés.
Lorsque vous utilisez un service de gestion des clés de fournisseur cloud, vous devez connaître les limites suivantes :
-
La gestion des clés du fournisseur cloud n'est pas disponible pour le chiffrement du stockage NetApp (NSE) et le chiffrement d'agrégat NetApp (NAE). "KMIP externes" peut être utilisé à la place.
-
La gestion des clés du fournisseur cloud n'est pas disponible pour les configurations MetroCluster.
-
La gestion des clés du fournisseur cloud peut uniquement être configurée sur un SVM de données.
-
Vous devez avoir configuré le KMS sur le fournisseur cloud approprié.
-
Les nœuds du cluster ONTAP doivent prendre en charge NVE.
-
"Vous devez avoir installé les licences Volume Encryption (VE) et MTEKM (Encryption Key Management) multitenant". Ces licences sont incluses avec "ONTAP One".
-
Vous devez être administrateur du cluster ou du SVM.
-
La SVM de données ne doit pas inclure de volumes chiffrés ni utiliser un gestionnaire de clés. Si le SVM de données inclut des volumes chiffrés, vous devez les migrer avant de configurer le KMS.
Activez la gestion externe des clés
L'activation de la gestion externe des clés dépend du gestionnaire de clés que vous utilisez. Choisissez l'onglet du gestionnaire de clés et de l'environnement appropriés.
-
Vous devez créer un octroi pour la clé KMS AWS qui sera utilisée par le rôle IAM gérant le chiffrement. Le rôle IAM doit inclure une politique permettant les opérations suivantes :
-
DescribeKey -
Encrypt -
DecryptPour plus d'informations, consultez la documentation AWS pour "subventions".
-
-
Avant de commencer, procurez-vous l'ID de clé d'accès et la clé secrète sur votre serveur KMS AWS.
-
Définissez le niveau de privilège sur avancé :
set -priv advanced -
Activer AWS KMS :
security key-manager external aws enable -vserver svm_name -region AWS_region -key-id key_ID -encryption-context encryption_context -
Lorsque vous y êtes invité, entrez la clé secrète.
-
Vérifiez que le KMS AWS a été correctement configuré :
security key-manager external aws show -vserver svm_name
Si un ou plusieurs volumes chiffrés sont déjà configurés pour un SVM de données et que les clés NVE correspondantes sont gérées par le gestionnaire de clés intégré des SVM d'administration, ces clés doivent être migrées vers le service externe de gestion des clés. Pour ce faire via l'interface de ligne de commandes, lancer la commande :
security key-manager key migrate -from-Vserver admin_SVM -to-Vserver data_SVM
Il n'est pas possible de créer de nouveaux volumes chiffrés pour le SVM de données du locataire tant que toutes les clés NVE du SVM de données ne sont pas migrées correctement.
