Gestione delle chiavi con AWS Key Management Service
Suggerisci modifiche
PDF
È possibile utilizzare "KMS (Key Management Service) di AWS" Per proteggere le chiavi di crittografia ONTAP in un'applicazione implementata da AWS.
La gestione delle chiavi con AWS KMS può essere abilitata con l'interfaccia CLI o l'API REST ONTAP.
Quando si utilizza il KMS, tenere presente che per impostazione predefinita viene utilizzata la LIF di un SVM di dati per comunicare con l'endpoint di gestione delle chiavi del cloud. Una rete di gestione dei nodi viene utilizzata per comunicare con i servizi di autenticazione di AWS. Se la rete del cluster non è configurata correttamente, il cluster non utilizzerà correttamente il servizio di gestione delle chiavi.
-
Cloud Volumes ONTAP deve eseguire la versione 9.12.0 o successiva
-
È necessario aver installato la licenza Volume Encryption (VE) e.
-
È necessario aver installato la licenza MTEKM (Multi-tenant Encryption Key Management).
-
Devi essere un amministratore del cluster o di SVM
-
È necessario disporre di un abbonamento AWS attivo
|
È possibile configurare le chiavi solo per una SVM dati. |
Configurazione
-
È necessario creare un "concedi" Per la chiave AWS KMS che verrà utilizzata dal ruolo IAM che gestisce la crittografia. Il ruolo IAM deve includere una policy che consenta le seguenti operazioni:
-
DescribeKey -
Encrypt -
Decrypt
Per creare una sovvenzione, fare riferimento a. "Documentazione AWS".
-
-
"Aggiungere un criterio al ruolo IAM appropriato." La policy dovrebbe supportare
DescribeKey,Encrypt, e.Decryptoperazioni.
-
Passa all'ambiente Cloud Volumes ONTAP.
-
Passare al livello di privilegio avanzato:
set -privilege advanced -
Abilitare il gestore delle chiavi AWS:
security key-manager external aws enable -vserver data_svm_name -region AWS_region -key-id key_ID -encryption-context encryption_context -
Quando richiesto, inserire la chiave segreta.
-
Verificare che AWS KMS sia stato configurato correttamente:
security key-manager external aws show -vserver svm_name