Gestisci le chiavi di crittografia Cloud Volumes ONTAP con AWS Key Management Service
Suggerisci modifiche
PDF
Puoi usare"Servizio di gestione delle chiavi (KMS) di AWS" per proteggere le chiavi di crittografia ONTAP in un'applicazione distribuita su AWS.
La gestione delle chiavi con AWS KMS può essere abilitata tramite la CLI o l'API REST ONTAP .
Quando si utilizza il KMS, tenere presente che per impostazione predefinita viene utilizzato il LIF di un SVM di dati per comunicare con l'endpoint di gestione delle chiavi cloud. Per comunicare con i servizi di autenticazione di AWS viene utilizzata una rete di gestione dei nodi. Se la rete del cluster non è configurata correttamente, il cluster non utilizzerà correttamente il servizio di gestione delle chiavi.
-
Cloud Volumes ONTAP deve eseguire la versione 9.12.0 o successiva
-
È necessario aver installato la licenza Volume Encryption (VE) e
-
È necessario aver installato la licenza Multi-tenant Encryption Key Management (MTEKM).
-
Devi essere un amministratore del cluster o SVM
-
Devi avere un abbonamento AWS attivo
|
È possibile configurare le chiavi solo per una SVM dati. |
Configurazione
-
Devi creare un"concessione" per la chiave AWS KMS che verrà utilizzata dal ruolo IAM che gestisce la crittografia. Il ruolo IAM deve includere una policy che consenta le seguenti operazioni:
-
DescribeKey -
Encrypt -
`Decrypt`Per creare una sovvenzione, fare riferimento a"Documentazione AWS" .
-
-
"Aggiungere un criterio al ruolo IAM appropriato."La politica dovrebbe sostenere l'
DescribeKey,Encrypt, EDecryptoperazioni.
-
Passa al tuo ambiente Cloud Volumes ONTAP .
-
Passa al livello di privilegio avanzato:
set -privilege advanced -
Abilitare il gestore delle chiavi AWS:
security key-manager external aws enable -vserver data_svm_name -region AWS_region -key-id key_ID -encryption-context encryption_context -
Quando richiesto, immettere la chiave segreta.
-
Verifica che AWS KMS sia stato configurato correttamente:
security key-manager external aws show -vserver svm_name