Skip to main content
Cloud Volumes ONTAP
Tutti i cloud provider
  • Amazon Web Services
  • Google Cloud
  • Microsoft Azure
  • Tutti i cloud provider
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Gestire le chiavi di crittografia Cloud Volumes ONTAP con il servizio KMS di Google Cloud

Collaboratori netapp-ahibbard netapp-manini netapp-driley netapp-bcammett netapp-rlithman
PDF

Puoi utilizzare "Servizio di gestione delle chiavi di Google Cloud Platform (Cloud KMS)" per proteggere le chiavi di crittografia Cloud Volumes ONTAP in un'applicazione implementata dalla piattaforma cloud Google.

La gestione delle chiavi con Cloud KMS può essere abilitata con l'interfaccia a riga di comando di ONTAP o l'API REST di ONTAP.

Quando si utilizza Cloud KMS, tenere presente che per impostazione predefinita viene utilizzata la LIF di un SVM di dati per comunicare con l'endpoint di gestione delle chiavi del cloud. Una rete di gestione dei nodi viene utilizzata per comunicare con i servizi di autenticazione del provider cloud (oauth2.googleapis.com). Se la rete del cluster non è configurata correttamente, il cluster non utilizzerà correttamente il servizio di gestione delle chiavi.

Prima di iniziare

  • Il tuo sistema dovrebbe eseguire Cloud Volumes ONTAP 9.10.1 o versione successiva

  • È necessario utilizzare una SVM dati. Cloud KMS può essere configurato solo su una SVM dati.

  • Devi essere un amministratore del cluster o di SVM

  • La licenza Volume Encryption (VE) deve essere installata sull'SVM

  • A partire da Cloud Volumes ONTAP 9.12.1 GA, è necessario installare anche la licenza MTEKM (Multi-tenant Encryption Key Management)

  • È richiesto un abbonamento attivo a Google Cloud Platform

Configurazione

Google Cloud

  1. Nel tuo ambiente Google Cloud, "Creare un anello e una chiave GCP simmetrici".

  2. Assegna un ruolo personalizzato alla chiave Cloud KMS e all'account del servizio Cloud Volumes ONTAP.

    1. Crea il ruolo personalizzato:

      gcloud iam roles create kmsCustomRole
    --project=<project_id>
    --title=<kms_custom_role_name>
    --description=<custom_role_description>
    --permissions=cloudkms.cryptoKeyVersions.get,cloudkms.cryptoKeyVersions.list,cloudkms.cryptoKeyVersions.useToDecrypt,cloudkms.cryptoKeyVersions.useToEncrypt,cloudkms.cryptoKeys.get,cloudkms.keyRings.get,cloudkms.locations.get,cloudkms.locations.list,resourcemanager.projects.get
    --stage=GA

    2. Assegna il ruolo personalizzato che hai creato:
      gcloud kms keys add-iam-policy-binding key_name --keyring key_ring_name --location key_location --member serviceAccount:_service_account_Name_ --role projects/customer_project_id/roles/kmsCustomRole

      Nota Se utilizzi Cloud Volumes ONTAP 9.13.0 o versioni successive, non è necessario creare un ruolo personalizzato. Puoi assegnare il ruolo predefinito [cloudkms.cryptoKeyEncrypterDecrypter ^] ruolo.

  3. Scarica la chiave JSON dell'account di servizio:
    gcloud iam service-accounts keys create key-file --iam-account=sa-name@project-id.iam.gserviceaccount.com

Cloud Volumes ONTAP

  1. Connettersi alla LIF di gestione del cluster con il client SSH preferito.

  2. Passare al livello di privilegio avanzato:
    set -privilege advanced

  3. Creare un DNS per i dati SVM.
    dns create -domains c.<project>.internal -name-servers server_address -vserver SVM_name

  4. Crea voce CMEK:
    security key-manager external gcp enable -vserver SVM_name -project-id project -key-ring-name key_ring_name -key-ring-location key_ring_location -key-name key_name

  5. Quando richiesto, inserire la chiave JSON dell'account di servizio dal proprio account GCP.

  6. Confermare che il processo di abilitazione è riuscito:
    security key-manager external gcp check -vserver svm_name

  7. FACOLTATIVO: Creare un volume per verificare la crittografia vol create volume_name -aggregate aggregate -vserver vserver_name -size 10G

Risolvere i problemi

Se è necessario risolvere il problema, è possibile eseguire il tail dei log REST API raw nei due passaggi precedenti:

  1. set d

  2. systemshell -node node -command tail -f /mroot/etc/log/mlog/kmip2_client.log