Skip to main content
Tutti i provider cloud
  • Servizi Web Amazon
  • Google Cloud
  • Microsoft Azure
  • Tutti i provider cloud
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Gestisci le chiavi di crittografia Cloud Volumes ONTAP con Google Cloud KMS

Collaboratori netapp-manini
PDF

Puoi usare"Servizio di gestione delle chiavi di Google Cloud Platform (Cloud KMS)" per proteggere le chiavi di crittografia Cloud Volumes ONTAP in un'applicazione distribuita su Google Cloud Platform.

La gestione delle chiavi con Cloud KMS può essere abilitata tramite ONTAP CLI o ONTAP REST API.

Quando si utilizza Cloud KMS, tenere presente che per impostazione predefinita viene utilizzato il LIF di un SVM di dati per comunicare con l'endpoint di gestione delle chiavi cloud. Per comunicare con i servizi di autenticazione del provider cloud (oauth2.googleapis.com) viene utilizzata una rete di gestione dei nodi. Se la rete del cluster non è configurata correttamente, il cluster non utilizzerà correttamente il servizio di gestione delle chiavi.

Prima di iniziare

  • Il tuo sistema dovrebbe eseguire Cloud Volumes ONTAP 9.10.1 o versione successiva

  • È necessario utilizzare una SVM dati. Cloud KMS può essere configurato solo su una SVM dati.

  • Devi essere un amministratore del cluster o SVM

  • La licenza Volume Encryption (VE) deve essere installata sull'SVM

  • A partire da Cloud Volumes ONTAP 9.12.1 GA, è necessario installare anche la licenza MTEKM (Multi-tenant Encryption Key Management)

  • È richiesto un abbonamento attivo a Google Cloud Platform

Configurazione

Google Cloud

  1. Nel tuo ambiente Google Cloud,"creare un portachiavi GCP simmetrico e una chiave" .

  2. Assegna un ruolo personalizzato alla chiave Cloud KMS e all'account di servizio Cloud Volumes ONTAP .

    1. Crea il ruolo personalizzato:

      gcloud iam roles create kmsCustomRole
    --project=<project_id>
    --title=<kms_custom_role_name>
    --description=<custom_role_description>
    --permissions=cloudkms.cryptoKeyVersions.get,cloudkms.cryptoKeyVersions.list,cloudkms.cryptoKeyVersions.useToDecrypt,cloudkms.cryptoKeyVersions.useToEncrypt,cloudkms.cryptoKeys.get,cloudkms.keyRings.get,cloudkms.locations.get,cloudkms.locations.list,resourcemanager.projects.get
    --stage=GA

    2. Assegna il ruolo personalizzato che hai creato:
      gcloud kms keys add-iam-policy-binding key_name --keyring key_ring_name --location key_location --member serviceAccount:_service_account_Name_ --role projects/customer_project_id/roles/kmsCustomRole

      Nota Se utilizzi Cloud Volumes ONTAP 9.13.0 o versione successiva, non è necessario creare un ruolo personalizzato. È possibile assegnare il predefinito[cloudkms.cryptoKeyEncrypterDecrypter ^] ruolo.

  3. Scarica la chiave JSON dell'account di servizio:
    gcloud iam service-accounts keys create key-file --iam-account=sa-name@project-id.iam.gserviceaccount.com

Cloud Volumes ONTAP

  1. Connettiti al LIF di gestione del cluster con il tuo client SSH preferito.

  2. Passa al livello di privilegio avanzato:
    set -privilege advanced

  3. Creare un DNS per i dati SVM.
    dns create -domains c.<project>.internal -name-servers server_address -vserver SVM_name

  4. Crea voce CMEK:
    security key-manager external gcp enable -vserver SVM_name -project-id project -key-ring-name key_ring_name -key-ring-location key_ring_location -key-name key_name

  5. Quando richiesto, inserisci la chiave JSON dell'account di servizio dal tuo account GCP.

  6. Conferma che il processo abilitato è riuscito:
    security key-manager external gcp check -vserver svm_name

  7. FACOLTATIVO: creare un volume per testare la crittografia vol create volume_name -aggregate aggregate -vserver vserver_name -size 10G

Risoluzione dei problemi

Se hai bisogno di risolvere un problema, puoi seguire i log REST API non elaborati negli ultimi due passaggi sopra:

  1. set d

  2. systemshell -node node -command tail -f /mroot/etc/log/mlog/kmip2_client.log