Impostare la gestione esterna delle chiavi
È possibile seguire questi passaggi e utilizzare i metodi API Element elencati per configurare la funzione di gestione delle chiavi esterna.
-
Se si imposta la gestione delle chiavi esterne in combinazione con la crittografia software a riposo, è stata attivata la crittografia software a riposo utilizzando "CreateCluster" metodo su un nuovo cluster che non contiene volumi.
-
Stabilire una relazione di trust con EKS (External Key Server).
-
Creare una coppia di chiavi pubbliche/private per il cluster di elementi che viene utilizzata per stabilire una relazione di trust con il server delle chiavi chiamando il seguente metodo API: "CreatePublicPrivateKeyPair"
-
Ottenere la richiesta di firma del certificato (CSR) che l'autorità di certificazione deve firmare. La CSR consente al server delle chiavi di verificare che il cluster di elementi che accederà alle chiavi sia autenticato come cluster di elementi. Chiamare il seguente metodo API: "GetClientCertificateSignRequest"
-
Utilizzare EKS/Certificate Authority per firmare la CSR recuperata. Per ulteriori informazioni, consultare la documentazione di terze parti.
-
-
Creare un server e un provider sul cluster per comunicare con EKS. Un provider di chiavi definisce dove ottenere una chiave e un server definisce gli attributi specifici di EKS con cui verrà comunicata.
-
Creare un provider di chiavi in cui risiedono i dettagli del server di chiavi chiamando il seguente metodo API: "CreateKeyProviderKmip"
-
Creare un server chiavi che fornisce il certificato firmato e il certificato della chiave pubblica dell'autorità di certificazione chiamando i seguenti metodi API: "CreateKeyServerKmip" "TestKeyServerKmip"
Se il test non riesce, verificare la connettività e la configurazione del server. Quindi ripetere il test.
-
Aggiungere il server delle chiavi nel contenitore del provider di chiavi chiamando i seguenti metodi API:"AddKeyServerToProviderKmip" "TestKeyProviderKmip"
Se il test non riesce, verificare la connettività e la configurazione del server. Quindi ripetere il test.
-
-
Eseguire una delle seguenti operazioni come fase successiva per la crittografia a riposo:
-
(Per la crittografia hardware a riposo) Enable (attiva) "crittografia hardware a riposo" Fornendo l'ID del provider di chiavi che contiene il server di chiavi utilizzato per memorizzare le chiavi chiamando il "EnableEncryptionAtRest" Metodo API.
È necessario attivare la crittografia a riposo tramite "API". Attivando la crittografia a riposo utilizzando il pulsante dell'interfaccia utente Element esistente, la funzione torna a utilizzare le chiavi generate internamente. -
(Per la crittografia software a riposo) per "crittografia software a riposo" Per utilizzare il provider di chiavi appena creato, passare l'ID del provider di chiavi a "RekeySoftwareEncryptionAtRestMasterKey" Metodo API.
-