Skip to main content
Tutti i provider cloud
  • Servizi Web Amazon
  • Google Cloud
  • Microsoft Azure
  • Tutti i provider cloud
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Configura Cloud Volumes ONTAP per utilizzare una chiave gestita dal cliente in AWS

Collaboratori netapp-manini
PDF

Se si desidera utilizzare la crittografia Amazon con Cloud Volumes ONTAP, è necessario configurare AWS Key Management Service (KMS).

Passi

  1. Assicurarsi che esista una Customer Master Key (CMK) attiva.

    La CMK può essere una CMK gestita da AWS o una CMK gestita dal cliente. Può trovarsi nello stesso account AWS di NetApp Console e Cloud Volumes ONTAP oppure in un account AWS diverso.

    "Documentazione AWS: Chiavi master del cliente (CMK)"

  2. Modificare la policy delle chiavi per ogni CMK aggiungendo il ruolo IAM che fornisce autorizzazioni alla Console come utente chiave.

    L'aggiunta del ruolo Identity and Access Management (IAM) come utente chiave fornisce alla Console le autorizzazioni per utilizzare CMK con Cloud Volumes ONTAP.

    "Documentazione AWS: modifica delle chiavi"

  3. Se la CMK si trova in un account AWS diverso, completare i seguenti passaggi:

    1. Accedere alla console KMS dall'account in cui risiede la CMK.

    2. Selezionare la chiave.

    3. Nel riquadro Configurazione generale, copiare l'ARN della chiave.

      Sarà necessario fornire l'ARN alla Console quando si crea il sistema Cloud Volumes ONTAP .

    4. Nel riquadro Altri account AWS, aggiungi l'account AWS che fornisce le autorizzazioni alla Console.

      In genere, questo è l'account in cui viene distribuita la Console. Se la Console non è installata in AWS, utilizzare l'account per il quale sono state fornite le chiavi di accesso AWS alla Console.

      Questa schermata mostra il pulsante "Aggiungi altri account AWS" dalla console AWS KMS.

      Questa schermata mostra la finestra di dialogo "Altri account AWS" dalla console AWS KMS.

    5. Ora passa all'account AWS che fornisce le autorizzazioni alla Console e apri la console IAM.

    6. Creare una policy IAM che includa le autorizzazioni elencate di seguito.

    7. Associare il criterio al ruolo IAM o all'utente IAM che fornisce le autorizzazioni alla Console.

      La seguente policy fornisce le autorizzazioni di cui la Console ha bisogno per utilizzare la CMK dall'account AWS esterno. Assicurati di modificare la regione e l'ID account nelle sezioni "Risorse".

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowUseOfTheKey",
            "Effect": "Allow",
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:externalaccountid:key/externalkeyid"
            ]
        },
        {
            "Sid": "AllowAttachmentOfPersistentResources",
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:ListGrants",
                "kms:RevokeGrant"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:externalaccountid:key/externalaccountid"
            ],
            "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": true
                }
            }
        }
    ]
}

    +
    Per ulteriori dettagli su questo processo, fare riferimento a "Documentazione AWS: consentire agli utenti di altri account di utilizzare una chiave KMS" .

  4. Se si utilizza una CMK gestita dal cliente, modificare la policy delle chiavi per la CMK aggiungendo il ruolo IAM Cloud Volumes ONTAP come utente chiave.

    Questo passaggio è obbligatorio se hai abilitato la suddivisione in livelli dei dati su Cloud Volumes ONTAP e desideri crittografare i dati archiviati nel bucket S3.

Sarà necessario eseguire questo passaggio dopo aver distribuito Cloud Volumes ONTAP perché il ruolo IAM viene creato quando si crea un sistema Cloud Volumes ONTAP . (Naturalmente, hai la possibilità di utilizzare un ruolo IAM Cloud Volumes ONTAP esistente, quindi è possibile eseguire questo passaggio in anticipo.)

"Documentazione AWS: modifica delle chiavi"