Skip to main content
Tutti i cloud provider
  • Amazon Web Services
  • Google Cloud
  • Microsoft Azure
  • Tutti i cloud provider
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Gestione delle chiavi con AWS Key Management Service

Collaboratori

È possibile utilizzare "KMS (Key Management Service) di AWS" Per proteggere le chiavi di crittografia ONTAP in un'applicazione implementata da AWS.

La gestione delle chiavi con AWS KMS può essere abilitata con l'interfaccia CLI o l'API REST ONTAP.

Quando si utilizza il KMS, tenere presente che per impostazione predefinita viene utilizzata la LIF di un SVM di dati per comunicare con l'endpoint di gestione delle chiavi del cloud. Una rete di gestione dei nodi viene utilizzata per comunicare con i servizi di autenticazione di AWS. Se la rete del cluster non è configurata correttamente, il cluster non utilizzerà correttamente il servizio di gestione delle chiavi.

Prima di iniziare

  • Cloud Volumes ONTAP deve eseguire la versione 9.12.0 o successiva

  • È necessario aver installato la licenza Volume Encryption (VE) e.

  • È necessario aver installato la licenza MTEKM (Multi-tenant Encryption Key Management).

  • Devi essere un amministratore del cluster o di SVM

  • È necessario disporre di un abbonamento AWS attivo

Nota È possibile configurare le chiavi solo per una SVM dati.

Configurazione

AWS

  1. È necessario creare un "concedi" Per la chiave AWS KMS che verrà utilizzata dal ruolo IAM che gestisce la crittografia. Il ruolo IAM deve includere una policy che consenta le seguenti operazioni:

  2. "Aggiungere un criterio al ruolo IAM appropriato." La policy dovrebbe supportare DescribeKey, Encrypt, e. Decrypt operazioni.

Cloud Volumes ONTAP

  1. Passa all'ambiente Cloud Volumes ONTAP.

  2. Passare al livello di privilegio avanzato:
    set -privilege advanced

  3. Abilitare il gestore delle chiavi AWS:
    security key-manager external aws enable -vserver data_svm_name -region AWS_region -key-id key_ID -encryption-context encryption_context

  4. Quando richiesto, inserire la chiave segreta.

  5. Verificare che AWS KMS sia stato configurato correttamente:
    security key-manager external aws show -vserver svm_name