Skip to main content
Tous les fournisseurs de cloud
  • Amazon Web Services
  • Google Cloud
  • Microsoft Azure
  • Tous les fournisseurs de cloud
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Gérer les clés de chiffrement Cloud Volumes ONTAP avec Google Cloud KMS

Contributeurs netapp-manini
PDF

Vous pouvez utiliser"Service de gestion des clés de Google Cloud Platform (Cloud KMS)" pour protéger vos clés de chiffrement Cloud Volumes ONTAP dans une application déployée sur Google Cloud Platform.

La gestion des clés avec Cloud KMS peut être activée avec l'interface de ligne de commande ONTAP ou l'API REST ONTAP .

Lorsque vous utilisez Cloud KMS, sachez que par défaut, le LIF d'un SVM de données est utilisé pour communiquer avec le point de terminaison de gestion des clés cloud. Un réseau de gestion de nœuds est utilisé pour communiquer avec les services d'authentification du fournisseur de cloud (oauth2.googleapis.com). Si le réseau du cluster n’est pas configuré correctement, le cluster n’utilisera pas correctement le service de gestion des clés.

Avant de commencer

  • Votre système doit exécuter Cloud Volumes ONTAP 9.10.1 ou une version ultérieure

  • Vous devez utiliser un SVM de données. Cloud KMS ne peut être configuré que sur un SVM de données.

  • Vous devez être un administrateur de cluster ou de SVM

  • La licence Volume Encryption (VE) doit être installée sur le SVM

  • À partir de Cloud Volumes ONTAP 9.12.1 GA, la licence multi-locataire Encryption Key Management (MTEKM) doit également être installée

  • Un abonnement actif à Google Cloud Platform est requis

Configuration

Google Cloud

  1. Dans votre environnement Google Cloud,"créer un trousseau de clés et une clé GCP symétriques" .

  2. Attribuez un rôle personnalisé à la clé Cloud KMS et au compte de service Cloud Volumes ONTAP .

    1. Créer le rôle personnalisé :

      gcloud iam roles create kmsCustomRole
    --project=<project_id>
    --title=<kms_custom_role_name>
    --description=<custom_role_description>
    --permissions=cloudkms.cryptoKeyVersions.get,cloudkms.cryptoKeyVersions.list,cloudkms.cryptoKeyVersions.useToDecrypt,cloudkms.cryptoKeyVersions.useToEncrypt,cloudkms.cryptoKeys.get,cloudkms.keyRings.get,cloudkms.locations.get,cloudkms.locations.list,resourcemanager.projects.get
    --stage=GA

    2. Attribuez le rôle personnalisé que vous avez créé :
      gcloud kms keys add-iam-policy-binding key_name --keyring key_ring_name --location key_location --member serviceAccount:_service_account_Name_ --role projects/customer_project_id/roles/kmsCustomRole

      Remarque Si vous utilisez Cloud Volumes ONTAP 9.13.0 ou une version ultérieure, vous n'avez pas besoin de créer un rôle personnalisé. Vous pouvez attribuer le prédéfini[cloudkms.cryptoKeyEncrypterDecrypter ^] rôle.

  3. Télécharger la clé JSON du compte de service :
    gcloud iam service-accounts keys create key-file --iam-account=sa-name@project-id.iam.gserviceaccount.com

Cloud Volumes ONTAP

  1. Connectez-vous au LIF de gestion de cluster avec votre client SSH préféré.

  2. Passer au niveau de privilège avancé :
    set -privilege advanced

  3. Créez un DNS pour les données SVM.
    dns create -domains c.<project>.internal -name-servers server_address -vserver SVM_name

  4. Créer une entrée CMEK :
    security key-manager external gcp enable -vserver SVM_name -project-id project -key-ring-name key_ring_name -key-ring-location key_ring_location -key-name key_name

  5. Lorsque vous y êtes invité, saisissez la clé JSON du compte de service de votre compte GCP.

  6. Confirmer que le processus activé a réussi :
    security key-manager external gcp check -vserver svm_name

  7. FACULTATIF : créer un volume pour tester le chiffrement vol create volume_name -aggregate aggregate -vserver vserver_name -size 10G

Dépannage

Si vous avez besoin de résoudre un problème, vous pouvez suivre les journaux bruts de l'API REST dans les deux dernières étapes ci-dessus :

  1. set d

  2. systemshell -node node -command tail -f /mroot/etc/log/mlog/kmip2_client.log