Note di rilascio
Gestire le chiavi con un cloud provider in ONTAP
Suggerisci modifiche
-
PDF del sito di questa documentazione
-
Configurare, aggiornare e ripristinare ONTAP
-
Amministrazione del cluster
-
Amministrazione dei volumi
-
Gestione dello storage logico con la CLI
-
Utilizzare le quote per limitare o tenere traccia dell'utilizzo delle risorse
-
-
-
Gestione dello storage NAS
-
Configurare NFS con la CLI
-
Gestisci NFS con la CLI
-
Gestire SMB con la CLI
-
Gestire i server SMB
-
Gestire l'accesso ai file utilizzando SMB
-
-
-
Autenticazione e controllo dell'accesso
-
Sicurezza e crittografia dei dati
-
Utilizzare FPolicy per il monitoraggio e la gestione dei file su SVM
-
-
Protezione dei dati e disaster recovery
-
Protezione dei dati mediante backup su nastro
-
-
Raccolta di documenti PDF separati
Creating your file...
A partire da ONTAP 9.10.1, puoi utilizzare "Azure Key Vault (AKV)" e "Servizio di gestione delle chiavi di Google Cloud Platform (Cloud KMS)"proteggere le chiavi di crittografia ONTAP in un'applicazione ospitata su cloud. A partire da ONTAP 9.12.0, è anche possibile proteggere le chiavi NVE con "KMS DI AWS".
AWS KMS, AKV e Cloud KMS possono essere utilizzati per proteggere "Chiavi NetApp Volume Encryption (NVE)" Solo per SVM di dati.
La gestione delle chiavi con un provider cloud può essere abilitata con l'interfaccia CLI o l'API REST ONTAP.
Quando si utilizza un cloud provider per proteggere le chiavi, tenere presente che per impostazione predefinita viene utilizzata una LIF SVM dati per comunicare con l'endpoint di gestione delle chiavi cloud. Una rete di gestione dei nodi viene utilizzata per comunicare con i servizi di autenticazione del provider cloud (login.microsoftonline.com per Azure; oauth2.googleapis.com per Cloud KMS). Se la rete cluster non è configurata correttamente, il cluster non utilizzerà correttamente il servizio di gestione delle chiavi.
Quando si utilizza un servizio di gestione delle chiavi di un provider cloud, è necessario tenere presenti le seguenti limitazioni:
-
La gestione delle chiavi con cloud provider non è disponibile per crittografia dello storage NetApp (NSE) e crittografia aggregata di NetApp (NAE). "KMIP esterni" può essere utilizzato in alternativa.
-
La gestione delle chiavi del provider cloud non è disponibile per le configurazioni MetroCluster.
-
La gestione delle chiavi del cloud provider può essere configurata solo su una SVM dati.
-
È necessario aver configurato il KMS sul cloud provider appropriato.
-
I nodi del cluster ONTAP devono supportare NVE.
-
"È necessario aver installato le licenze Volume Encryption (VE) e Encryption Key Management (MTEKM) multi-tenant". Queste licenze sono incluse in "ONTAP uno".
-
Devi essere un amministratore del cluster o di SVM.
-
I dati SVM non devono includere volumi crittografati né utilizzare un gestore delle chiavi. Se i dati SVM includono volumi crittografati, è necessario eseguirne la migrazione prima di configurare il KMS.
Abilitare la gestione esterna delle chiavi
L'attivazione della gestione esterna delle chiavi dipende dal gestore specifico delle chiavi utilizzato. Scegliere la scheda del gestore delle chiavi e dell'ambiente appropriati.
-
È necessario creare una concessione per la chiave AWS KMS che verrà utilizzata dal ruolo IAM che gestisce la crittografia. Il ruolo IAM deve includere una policy che consenta le seguenti operazioni:
-
DescribeKey -
Encrypt -
DecryptPer ulteriori informazioni, consultare la documentazione AWS per "sovvenzioni".
-
-
Prima di iniziare, procurarsi l'ID della chiave di accesso e la chiave segreta da AWS KMS.
-
Impostare il livello di privilegio su Advanced (avanzato):
set -priv advanced -
Abilitare AWS KMS:
security key-manager external aws enable -vserver svm_name -region AWS_region -key-id key_ID -encryption-context encryption_context -
Quando richiesto, inserire la chiave segreta.
-
Verificare che AWS KMS sia stato configurato correttamente:
security key-manager external aws show -vserver svm_name
-
Prima di iniziare, è necessario ottenere le credenziali di autenticazione appropriate dall'account Azure, un certificato o un segreto client. È inoltre necessario garantire che tutti i nodi del cluster siano integri. Puoi controllare questo con il comando
cluster show. -
Impostare il livello di privilegi su avanzato
set -priv advanced -
Abilitare AKV su SVM
`security key-manager external azure enable -client-id client_id -tenant-id tenant_id -name -key-id key_id -authentication-method {certificate|client-secret}`Quando richiesto, immettere il certificato del client o il segreto del client dall'account Azure. -
Verificare che AKV sia attivato correttamente:
security key-manager external azure show vserver svm_name
Se la raggiungibilità del servizio non è corretta, stabilire la connettività con il servizio di gestione delle chiavi AKV tramite data SVM LIF.
-
Prima di iniziare, ottenere la chiave privata per il file delle chiavi dell'account Google Cloud KMS in formato JSON. Questo è disponibile nel tuo account GCP.
È inoltre necessario garantire che tutti i nodi del cluster siano integri. Puoi controllare questo con il comandocluster show. -
Impostare il livello di privilegi su avanzato:
set -priv advanced -
Abilitare Cloud KMS su SVM
security key-manager external gcp enable -vserver svm_name -project-id project_id-key-ring-name key_ring_name -key-ring-location key_ring_location -key-name key_name
Quando richiesto, inserire il contenuto del file JSON con la chiave privata dell'account di servizio -
Verificare che Cloud KMS sia configurato con i parametri corretti:
security key-manager external gcp show vserver svm_name
Lo stato dikms_wrapped_key_statuslo sarà“UNKNOWN”se non sono stati creati volumi crittografati.
Se la raggiungibilità del servizio non è corretta, stabilire la connettività al servizio di gestione delle chiavi GCP tramite data SVM LIF.
Se uno o più volumi crittografati sono già configurati per un SVM di dati e le chiavi NVE corrispondenti sono gestite dal gestore delle chiavi integrato SVM di amministrazione, tali chiavi devono essere migrate al servizio di gestione delle chiavi esterno. Per eseguire questa operazione con la CLI, eseguire il comando:
`security key-manager key migrate -from-Vserver admin_SVM -to-Vserver data_SVM`Non è possibile creare nuovi volumi crittografati per i dati SVM del tenant fino a quando tutte le chiavi NVE dei dati SVM non vengono migrate correttamente.
