Gestisci le chiavi con il Cloud Key Management Service di Google
È possibile utilizzare "Servizio di gestione delle chiavi di Google Cloud Platform (Cloud KMS)" Per proteggere le chiavi di crittografia ONTAP in un'applicazione implementata dalla piattaforma cloud Google.
La gestione delle chiavi con Cloud KMS può essere abilitata con l'interfaccia a riga di comando di ONTAP o l'API REST di ONTAP.
Quando si utilizza Cloud KMS, tenere presente che per impostazione predefinita viene utilizzata la LIF di un SVM di dati per comunicare con l'endpoint di gestione delle chiavi del cloud. Una rete di gestione dei nodi viene utilizzata per comunicare con i servizi di autenticazione del provider cloud (oauth2.googleapis.com). Se la rete del cluster non è configurata correttamente, il cluster non utilizzerà correttamente il servizio di gestione delle chiavi.
-
Cloud Volumes ONTAP deve eseguire la versione 9.10.1 o successiva
-
Licenza VE (Volume Encryption) installata
-
Licenza di gestione delle chiavi di crittografia multi-tenant (MTEKM) installata, a partire da Cloud Volumes ONTAP 9.12.1 GA.
-
Devi essere un amministratore del cluster o di SVM
-
Un abbonamento attivo a Google Cloud Platform
-
Cloud KMS può essere configurato solo su una SVM dati
Configurazione
-
Nel tuo ambiente Google Cloud, "Creare un anello e una chiave GCP simmetrici".
-
Creare un ruolo personalizzato per l'account del servizio Cloud Volumes ONTAP.
gcloud iam roles create kmsCustomRole --project=<project_id> --title=<kms_custom_role_name> --description=<custom_role_description> --permissions=cloudkms.cryptoKeyVersions.get,cloudkms.cryptoKeyVersions.list,cloudkms.cryptoKeyVersions.useToDecrypt,cloudkms.cryptoKeyVersions.useToEncrypt,cloudkms.cryptoKeys.get,cloudkms.keyRings.get,cloudkms.locations.get,cloudkms.locations.list,resourcemanager.projects.get --stage=GA
-
Assegnare il ruolo personalizzato alla chiave KMS cloud e all'account del servizio Cloud Volumes ONTAP:
gcloud kms keys add-iam-policy-binding key_name --keyring key_ring_name --location key_location --member serviceAccount:_service_account_Name_ --role projects/customer_project_id/roles/kmsCustomRole
-
Scarica la chiave JSON dell'account di servizio:
gcloud iam service-accounts keys create key-file --iam-account=sa-name@project-id.iam.gserviceaccount.com
-
Connettersi alla LIF di gestione del cluster con il client SSH preferito.
-
Passare al livello di privilegio avanzato:
set -privilege advanced
-
Creare un DNS per i dati SVM.
dns create -domains c.<project>.internal -name-servers server_address -vserver SVM_name
-
Crea voce CMEK:
security key-manager external gcp enable -vserver SVM_name -project-id project -key-ring-name key_ring_name -key-ring-location key_ring_location -key-name key_name
-
Quando richiesto, inserire la chiave JSON dell'account di servizio dal proprio account GCP.
-
Confermare che il processo di abilitazione è riuscito:
security key-manager external gcp check -vserver svm_name
-
FACOLTATIVO: Creare un volume per verificare la crittografia
vol create volume_name -aggregate aggregate -vserver vserver_name -size 10G
Risolvere i problemi
Se è necessario risolvere il problema, è possibile eseguire il tail dei log REST API raw nei due passaggi precedenti:
-
set d
-
systemshell -node node -command tail -f /mroot/etc/log/mlog/kmip2_client.log