Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Gestire le chiavi con un cloud provider

Collaboratori
PDF

A partire da ONTAP 9.10.1, è possibile utilizzare "Azure Key Vault (AKV)" e. "Servizio di gestione delle chiavi di Google Cloud Platform (Cloud KMS)" Per proteggere le chiavi di crittografia ONTAP in un'applicazione ospitata nel cloud. A partire da ONTAP 9.12.0, è anche possibile proteggere le chiavi NVE con "KMS DI AWS".

AWS KMS, AKV e Cloud KMS possono essere utilizzati per proteggere "Chiavi NetApp Volume Encryption (NVE)" Solo per SVM di dati.

A proposito di questa attività

La gestione delle chiavi con un provider cloud può essere abilitata con l'interfaccia CLI o l'API REST ONTAP.

Quando si utilizza un cloud provider per proteggere le chiavi, tenere presente che per impostazione predefinita viene utilizzata una LIF SVM dati per comunicare con l'endpoint di gestione delle chiavi cloud. Una rete di gestione dei nodi viene utilizzata per comunicare con i servizi di autenticazione del provider cloud (login.microsoftonline.com per Azure; oauth2.googleapis.com per Cloud KMS). Se la rete del cluster non è configurata correttamente, il cluster non utilizzerà correttamente il servizio di gestione delle chiavi.

Quando si utilizza un servizio di gestione delle chiavi di un provider cloud, è necessario tenere presenti le seguenti limitazioni:

  • La gestione delle chiavi con cloud provider non è disponibile per crittografia dello storage NetApp (NSE) e crittografia aggregata di NetApp (NAE). "KMIP esterni" può essere utilizzato in alternativa.

  • La gestione delle chiavi del provider cloud non è disponibile per le configurazioni MetroCluster.

  • La gestione delle chiavi del cloud provider può essere configurata solo su una SVM dati.

Prima di iniziare

Abilitare la gestione esterna delle chiavi

L'attivazione della gestione esterna delle chiavi dipende dal gestore specifico delle chiavi utilizzato. Scegliere la scheda del gestore delle chiavi e dell'ambiente appropriati.

AWS
Prima di iniziare

  • È necessario creare una concessione per la chiave AWS KMS che verrà utilizzata dal ruolo IAM che gestisce la crittografia. Il ruolo IAM deve includere una policy che consenta le seguenti operazioni:

    • DescribeKey

    • Encrypt

    • Decrypt

      Per ulteriori informazioni, consultare la documentazione AWS per "sovvenzioni".

Abilitare AWS KMV su una SVM ONTAP

  1. Prima di iniziare, procurarsi l'ID della chiave di accesso e la chiave segreta da AWS KMS.

  2. Impostare il livello di privilegio su Advanced (avanzato):
    set -priv advanced

  3. Abilitare AWS KMS:
    security key-manager external aws enable -vserver svm_name -region AWS_region -key-id key_ID -encryption-context encryption_context

  4. Quando richiesto, inserire la chiave segreta.

  5. Verificare che AWS KMS sia stato configurato correttamente:
    security key-manager external aws show -vserver svm_name

Azure
Abilitare il vault delle chiavi Azure su una SVM ONTAP

  1. Prima di iniziare, è necessario ottenere le credenziali di autenticazione appropriate dall'account Azure, un certificato o un segreto client. È inoltre necessario garantire che tutti i nodi del cluster siano integri. Puoi controllare questo con il comando cluster show.

  2. Impostare il livello di privilegi su avanzato
    set -priv advanced

  3. Abilitare AKV su SVM
    `security key-manager external azure enable -client-id client_id -tenant-id tenant_id -name -key-id key_id -authentication-method {certificate|client-secret}`Quando richiesto, immettere il certificato del client o il segreto del client dall'account Azure.

  4. Verificare che AKV sia attivato correttamente:
    security key-manager external azure show vserver svm_name
    Se la raggiungibilità del servizio non è corretta, stabilire la connettività con il servizio di gestione delle chiavi AKV tramite data SVM LIF.

Google Cloud
Abilitare KMS cloud su una SVM ONTAP

  1. Prima di iniziare, ottenere la chiave privata per il file delle chiavi dell'account Google Cloud KMS in formato JSON. Questo è disponibile nel tuo account GCP.
    È inoltre necessario garantire che tutti i nodi del cluster siano integri. Puoi controllare questo con il comando cluster show.

  2. Impostare il livello di privilegi su avanzato:
    set -priv advanced

  3. Abilitare Cloud KMS su SVM
    security key-manager external gcp enable -vserver svm_name -project-id project_id-key-ring-name key_ring_name -key-ring-location key_ring_location -key-name key_name
    Quando richiesto, inserire il contenuto del file JSON con la chiave privata dell'account di servizio

  4. Verificare che Cloud KMS sia configurato con i parametri corretti:
    security key-manager external gcp show vserver svm_name
    Lo stato di kms_wrapped_key_status lo sarà “UNKNOWN” se non sono stati creati volumi crittografati.
    Se la raggiungibilità del servizio non è corretta, stabilire la connettività al servizio di gestione delle chiavi GCP tramite data SVM LIF.

Se uno o più volumi crittografati sono già configurati per un SVM di dati e le chiavi NVE corrispondenti sono gestite dal gestore delle chiavi integrato SVM di amministrazione, tali chiavi devono essere migrate al servizio di gestione delle chiavi esterno. Per eseguire questa operazione con la CLI, eseguire il comando:
`security key-manager key migrate -from-Vserver admin_SVM -to-Vserver data_SVM`Non è possibile creare nuovi volumi crittografati per i dati SVM del tenant fino a quando tutte le chiavi NVE dei dati SVM non vengono migrate correttamente.

Informazioni correlate