AWS Key Management Serviceを使用してキーを管理します
変更を提案
PDF
を使用できます "AWS Key Management Service(KMS)" AWSに導入されたアプリケーションでONTAP暗号化キーを保護するため。
AWS KMSを使用したキー管理は、CLIまたはONTAP REST APIを使用して有効にできます。
KMSを使用する場合は、デフォルトではデータSVMのLIFがクラウドキー管理エンドポイントとの通信に使用されることに注意してください。ノード管理ネットワークは、AWSの認証サービスとの通信に使用されます。クラスタネットワークが正しく設定されていないと、クラスタでキー管理サービスが適切に利用されません。
-
Cloud Volumes ONTAPでバージョン9.12.0以降が実行されている必要があります
-
Volume Encryption(VE)ライセンスとをインストールしておく必要があります
-
Multi-tenant Encryption Key Management(MTEKM)ライセンスをインストールしておく必要があります。
-
クラスタ管理者またはSVMの管理者である必要があります
-
有効なAWSサブスクリプションが必要です
|
設定できるのはデータSVMのキーだけです。 |
設定
-
を作成する必要があります "グラント" 暗号化を管理するIAMロールで使用されるAWS KMSキー用。IAMロールには、次の処理を許可するポリシーが含まれている必要があります。
-
DescribeKey -
Encrypt -
Decrypt
認可を作成するには、を参照してください "AWS のドキュメント"。
-
-
"適切なIAMロールにポリシーを追加します。" ポリシーでがサポートされている必要があります
DescribeKey、Encrypt`および `Decrypt操作:
-
Cloud Volumes ONTAP環境に切り替えます。
-
advanced権限レベルに切り替えます:'set -privilege advanced
-
AWSキー管理ツールを有効にします。
security key-manager external aws enable -vserver data_svm_name -region AWS_region -key-id key_ID -encryption-context encryption_context -
プロンプトが表示されたら、シークレットキーを入力します。
-
AWS KMSが正しく設定されたことを確認します。
security key-manager external aws show -vserver svm_name