Gérer les clés avec un fournisseur cloud
À partir de ONTAP 9.10.1, vous pouvez l'utiliser "Azure Key Vault (AKV)" et "Service de gestion des clés (KMS cloud) de Google Cloud Platform" Pour protéger vos clés de chiffrement ONTAP dans une application hébergée dans le cloud. À partir de ONTAP 9.12.0, vous pouvez également protéger les clés NVE avec "KMS D'AWS".
Vous pouvez utiliser AWS KMS, AKV et Cloud KMS pour protéger les données "Clés NetApp Volume Encryption (NVE)" Uniquement pour les SVM de données.
La gestion des clés avec un fournisseur cloud peut être activée via l'interface de ligne de commandes ou l'API REST ONTAP.
Lorsque vous utilisez un fournisseur cloud pour protéger vos clés, sachez que par défaut, une LIF de SVM de données communique avec le terminal de gestion des clés cloud. Un réseau de gestion de nœuds est utilisé pour communiquer avec les services d'authentification du fournisseur cloud (login.microsoftonline.com pour Azure ; oauth2.googleapis.com pour le Cloud KMS). Si le réseau de cluster n'est pas configuré correctement, le cluster n'utilisera pas correctement le service de gestion des clés.
Lorsque vous utilisez un service de gestion des clés de fournisseur cloud, vous devez connaître les limites suivantes :
-
La gestion des clés du fournisseur cloud n'est pas disponible pour le chiffrement du stockage NetApp (NSE) et le chiffrement d'agrégat NetApp (NAE). "KMIP externes" peut être utilisé à la place.
-
La gestion des clés du fournisseur cloud n'est pas disponible pour les configurations MetroCluster.
-
La gestion des clés du fournisseur cloud peut uniquement être configurée sur un SVM de données.
-
Vous devez avoir configuré le KMS sur le fournisseur cloud approprié.
-
Les nœuds du cluster ONTAP doivent prendre en charge NVE.
-
"Vous devez avoir installé les licences Volume Encryption (VE) et MTEKM (Encryption Key Management) multitenant". Ces licences sont incluses avec "ONTAP One".
-
Vous devez être administrateur du cluster ou du SVM.
-
La SVM de données ne doit pas inclure de volumes chiffrés ni utiliser un gestionnaire de clés. Si le SVM de données inclut des volumes chiffrés, vous devez les migrer avant de configurer le KMS.
Activez la gestion externe des clés
L'activation de la gestion externe des clés dépend du gestionnaire de clés que vous utilisez. Choisissez l'onglet du gestionnaire de clés et de l'environnement appropriés.
-
Vous devez créer un octroi pour la clé KMS AWS qui sera utilisée par le rôle IAM gérant le chiffrement. Le rôle IAM doit inclure une politique permettant les opérations suivantes :
-
DescribeKey
-
Encrypt
-
Decrypt
Pour plus d'informations, consultez la documentation AWS pour "subventions".
-
-
Avant de commencer, procurez-vous l'ID de clé d'accès et la clé secrète sur votre serveur KMS AWS.
-
Définissez le niveau de privilège sur avancé :
set -priv advanced
-
Activer AWS KMS :
security key-manager external aws enable -vserver svm_name -region AWS_region -key-id key_ID -encryption-context encryption_context
-
Lorsque vous y êtes invité, entrez la clé secrète.
-
Vérifiez que le KMS AWS a été correctement configuré :
security key-manager external aws show -vserver svm_name
-
Avant de commencer, vous devez obtenir les informations d'authentification appropriées à partir de votre compte Azure, soit un secret client, soit un certificat.
Vous devez également vous assurer que tous les nœuds du cluster fonctionnent correctement. Vous pouvez le vérifier à l'aide de la commandecluster show
. -
Définissez le niveau privilégié sur avancé
set -priv advanced
-
Activation de AKV sur le SVM
security key-manager external azure enable -client-id client_id -tenant-id tenant_id -name -key-id key_id -authentication-method {certificate|client-secret}
Lorsque vous y êtes invité, entrez le certificat client ou le secret client de votre compte Azure. -
Vérifiez que la fonction AKV est activée correctement :
security key-manager external azure show vserver svm_name
Si l'accessibilité du service n'est pas OK, établir la connectivité au service de gestion des clés AKV via la LIF du SVM de données.
-
Avant de commencer, procurez-vous la clé privée du fichier de clé de compte Google Cloud KMS au format JSON. Elles sont disponibles dans votre compte GCP.
Vous devez également vous assurer que tous les nœuds du cluster fonctionnent correctement. Vous pouvez le vérifier à l'aide de la commandecluster show
. -
Définir le niveau privilégié sur avancé :
set -priv advanced
-
Activation du KMS cloud sur le SVM
security key-manager external gcp enable -vserver svm_name -project-id project_id-key-ring-name key_ring_name -key-ring-location key_ring_location -key-name key_name
Lorsque vous y êtes invité, entrez le contenu du fichier JSON avec la clé privée du compte de service -
Vérifiez que Cloud KMS est configuré avec les paramètres appropriés :
security key-manager external gcp show vserver svm_name
Le statut dekms_wrapped_key_status
sera le cas“UNKNOWN”
si aucun volume chiffré n'a été créé.
Si la accessibilité du service n'est pas satisfaisante, établissez la connectivité au service de gestion des clés GCP via LIF du SVM de données.
Si un ou plusieurs volumes chiffrés sont déjà configurés pour un SVM de données et que les clés NVE correspondantes sont gérées par le gestionnaire de clés intégré des SVM d'administration, ces clés doivent être migrées vers le service externe de gestion des clés. Pour ce faire via l'interface de ligne de commandes, lancer la commande :
security key-manager key migrate -from-Vserver admin_SVM -to-Vserver data_SVM
Il n'est pas possible de créer de nouveaux volumes chiffrés pour le SVM de données du locataire tant que toutes les clés NVE du SVM de données ne sont pas migrées correctement.