Skip to main content
Tutti i provider cloud
  • Servizi Web Amazon
  • Google Cloud
  • Microsoft Azure
  • Tutti i provider cloud
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Utilizzo di chiavi di crittografia gestite dal cliente con Cloud Volumes ONTAP

Collaboratori netapp-manini
PDF

Sebbene Google Cloud Storage crittografi sempre i dati prima che vengano scritti sul disco, è possibile utilizzare le API per creare un sistema Cloud Volumes ONTAP che utilizzi chiavi di crittografia gestite dal cliente. Si tratta di chiavi che puoi generare e gestire in GCP utilizzando Cloud Key Management Service.

Passi

  1. Assicurarsi che l'account del servizio agente della console disponga delle autorizzazioni corrette a livello di progetto, nel progetto in cui è archiviata la chiave.

    I permessi sono forniti nel "le autorizzazioni dell'account di servizio per impostazione predefinita" , ma potrebbe non essere applicato se si utilizza un progetto alternativo per il Cloud Key Management Service.

    I permessi sono i seguenti:

    - cloudkms.cryptoKeyVersions.useToEncrypt
- cloudkms.cryptoKeys.get
- cloudkms.cryptoKeys.list
- cloudkms.keyRings.list

  2. Assicurarsi che l'account di servizio per il "Agente di servizio Google Compute Engine" dispone delle autorizzazioni Cloud KMS Encrypter/Decrypter sulla chiave.

    Il nome dell'account di servizio utilizza il seguente formato: "service-[service_project_number]@compute-system.iam.gserviceaccount.com".

    "Documentazione di Google Cloud: Utilizzo di IAM con Cloud KMS - Concessione di ruoli su una risorsa"

  3. Ottieni l'"id" della chiave invocando il comando get per /gcp/vsa/metadata/gcp-encryption-keys Chiamata API o selezionando "Copia nome risorsa" sulla chiave nella console GCP.

  4. Se si utilizzano chiavi di crittografia gestite dal cliente e si suddividono i dati in livelli per l'archiviazione di oggetti, la console NetApp tenta di utilizzare le stesse chiavi utilizzate per crittografare i dischi persistenti. Ma prima devi abilitare i bucket di Google Cloud Storage per utilizzare le chiavi:

    1. Trova l'agente del servizio Google Cloud Storage seguendo le istruzioni "Documentazione di Google Cloud: ottenere l'agente del servizio Cloud Storage" .

    2. Passare alla chiave di crittografia e assegnare all'agente del servizio Google Cloud Storage le autorizzazioni Cloud KMS Encrypter/Decrypter.

    Per maggiori informazioni, fare riferimento a "Documentazione di Google Cloud: utilizzo delle chiavi di crittografia gestite dal cliente"

  5. Utilizzare il parametro "GcpEncryption" con la richiesta API durante la creazione di un sistema.

    Esempio

    "gcpEncryptionParameters": {
    "key": "projects/project-1/locations/us-east4/keyRings/keyring-1/cryptoKeys/generatedkey1"
  }

Fare riferimento al "Documentazione sull'automazione della console NetApp" per maggiori dettagli sull'utilizzo del parametro "GcpEncryption".