Impostare la gestione esterna delle chiavi
È possibile seguire questi passaggi e utilizzare i metodi API Element elencati per configurare la funzione di gestione delle chiavi esterna.
-
Se stai configurando la gestione delle chiavi esterne in combinazione con la crittografia software a riposo, hai abilitato la crittografia software a riposo usando il "CreateCluster"metodo su un nuovo cluster che non contiene volumi.
-
Stabilire una relazione di trust con EKS (External Key Server).
-
Creare una coppia di chiavi pubbliche/private per il cluster di elementi utilizzato per stabilire una relazione di trust con il server delle chiavi chiamando il seguente metodo API: "CreatePublicPrivateKeyPair"
-
Ottenere la richiesta di firma del certificato (CSR) che l'autorità di certificazione deve firmare. La CSR consente al server delle chiavi di verificare che il cluster di elementi che accederà alle chiavi sia autenticato come cluster di elementi. Chiamare il seguente metodo API: "GetClientCertificateSignRequest"
-
Utilizzare EKS/Certificate Authority per firmare la CSR recuperata. Per ulteriori informazioni, consultare la documentazione di terze parti.
-
-
Creare un server e un provider sul cluster per comunicare con EKS. Un provider di chiavi definisce dove ottenere una chiave e un server definisce gli attributi specifici di EKS con cui verrà comunicata.
-
Creare un provider chiave in cui risiedono i dettagli del server chiave chiamando il seguente metodo API: "CreateKeyProviderKmip"
-
Creare un server delle chiavi che fornisca il certificato firmato e il certificato della chiave pubblica dell'autorità di certificazione chiamando i seguenti metodi API: "CreateKeyServerKmip" "TestKeyServerKmip"
Se il test non riesce, verificare la connettività e la configurazione del server. Quindi ripetere il test.
-
Aggiungere il server delle chiavi nel contenitore del provider di chiavi chiamando i seguenti metodi API: "AddKeyServerToProviderKmip" "TestKeyProviderKmip"
Se il test non riesce, verificare la connettività e la configurazione del server. Quindi ripetere il test.
-
-
Eseguire una delle seguenti operazioni come fase successiva per la crittografia a riposo:
-
(Per la crittografia hardware a riposo) attivare l'"crittografia hardware a riposo"opzione fornendo l'ID del provider di chiavi che contiene il server di chiavi utilizzato per l'archiviazione delle chiavi chiamando il "EnableEncryptionAtRest"metodo API.
È necessario abilitare la crittografia a riposo tramite "API". Attivando la crittografia a riposo utilizzando il pulsante dell'interfaccia utente Element esistente, la funzione torna a utilizzare le chiavi generate internamente. -
(Per la crittografia software a riposo) per poter "crittografia software a riposo"utilizzare il provider di chiavi appena creato, passare l'ID del provider di chiavi al "RekeySoftwareEncryptionAtRestMasterKey"metodo API.
-