Skip to main content
すべてのクラウドプロバイダ
  • Amazon Web Services の
  • Google Cloud
  • Microsoft Azure
  • すべてのクラウドプロバイダ
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

Azure Key Vaultを使用してキーを管理します

共同作成者

を使用できます "Azure キーボールト( AKV )" Azureで導入されたアプリケーションでONTAP 暗号化キーを保護するため。

AKVは保護に使用できます "NetApp Volume Encryption ( NVE )キー" データSVMの場合のみ。

AKVを使用したキー管理は、CLIまたはONTAP REST APIを使用して有効にできます。

AKVを使用する場合、デフォルトではクラウドキー管理エンドポイントとの通信にデータSVM LIFが使用されることに注意してください。ノード管理ネットワークは、クラウドプロバイダの認証サービス(login.microsoftonline.com)との通信に使用されます。クラスタネットワークが正しく設定されていないと、クラスタでキー管理サービスが適切に利用されません。

作業を開始する前に
  • Cloud Volumes ONTAP でバージョン9.10.1以降が実行されている必要があります

  • Volume Encryption(VE)ライセンスがインストールされている(ネットアップサポートに登録されている各Cloud Volumes ONTAP システムにNetApp Volume Encryptionライセンスが自動的にインストールされる)

  • マルチテナント暗号化キー管理(MT_EK_MGMT)ライセンスが必要です

  • クラスタ管理者またはSVMの管理者である必要があります

  • アクティブなAzureサブスクリプション

制限
  • AKVはデータSVM上でのみ設定できます

  • NAEはAKVでは使用できません。NAEには、外部でサポートされるKMIPサーバが必要です。

設定プロセス

AzureにCloud Volumes ONTAP 構成を登録する方法と、Azure Key Vaultとキーを作成する方法を概説しています。これらの手順をすでに完了している場合は、特に、で正しい設定を行っていることを確認してください Azureキーバックアップを作成しますをクリックし、に進みます Cloud Volumes ONTAP 構成

Azureアプリケーション登録
  1. Cloud Volumes ONTAP からAzure Key Vaultへのアクセスに使用するAzureサブスクリプションにアプリケーションを登録しておく必要があります。Azureポータルで、アプリケーション登録を選択します。

  2. 新規登録を選択します。

  3. アプリケーションの名前を指定し、サポートされているアプリケーションタイプを選択します。デフォルトの単一テナントでAzure Key Vaultの使用量が十分に設定されていること。[登録]を選択します。

  4. Azureの概要ウィンドウで、登録したアプリケーションを選択します。アプリケーション(クライアント)IDおよびディレクトリ(テナント)IDを安全な場所にコピーします。これらの情報は、後で登録プロセスで必要になります。

Azureクライアントシークレットを作成する
  1. Azure Key Vaultアプリケーション登録用のAzureポータルで、[証明書とシークレット]ペインを選択します。

  2. 新しいクライアントシークレット]を選択します。クライアントシークレットにわかりやすい名前を入力します。ネットアップでは24カ月の有効期限を推奨していますが、クラウドガバナンスポリシーによっては、別の設定が必要になる場合があります。

  3. クライアントシークレットを作成するには、[追加]をクリックします。value**カラムに表示されているシークレット文字列をコピーし、後でで使用できるように安全な場所に保存します Cloud Volumes ONTAP 構成。シークレット値は、ページから移動したあとに再び表示されません。

Azureキーバックアップを作成します
  1. 既存のAzure Key Vaultがある場合はCloud Volumes ONTAP 構成に接続できますが、このプロセスの設定にアクセスポリシーを適用する必要があります。

  2. Azureポータルで、[** Key Vaults(キーボルト)]セクションに移動します。

  3. [+Create]をクリックして、リソースグループ、地域、価格階層などの必要な情報を入力します。また、削除したボールトを保持する日数を入力し、キーボールトでパージ保護を有効にする**を選択します。

  4. アクセスポリシーを選択するには、 Nextを選択してください。

  5. 次のオプションを選択します。

    1. [アクセス構成]で、[ボールトアクセスポリシー]を選択します。

    2. [リソースアクセス]で、[ Azure Disk Encryption for Volume Encryption]を選択します。

  6. アクセスポリシーを追加するには、+Createを選択します。

  7. [テンプレートから構成する]の下のドロップダウンメニューをクリックし、[キー]、[シークレット]、[証明書管理]テンプレートを選択します。

  8. 各ドロップダウンメニュー(キー、シークレット、証明書)を選択し、メニューリストの一番上にある[All]を選択して、使用可能なすべてのアクセス許可を選択します。次の作業を完了しておきます

    • キー権限:20が選択されています

    • シークレット権限:8が選択されています

    • 証明書のアクセス許可:16が選択されています

      アクセスポリシーの作成のスクリーンショット。アクセスポリシーを作成するために必要なすべての権限の選択を示しています

  9. Nextをクリックして、で作成したPrincipal Azure登録アプリケーションを選択します Azureアプリケーション登録 Next を選択します。

    メモ 1つのポリシーに割り当てることができるプリンシパルは1つだけです。

    アクセスポリシープリンシパルの作成タブのスクリーンショット

  10. 「次へ」を2回クリックして「レビュー」および「作成」に到着します。次に、[作成]をクリックします。

  11. Nextを選択して、Networkingオプションに進みます。

  12. 適切なネットワークアクセス方法を選択するか、すべてのネットワークおよびレビュー+作成を選択して、キーボールトを作成します。(ネットワークアクセス方法は、ガバナンスポリシーまたは企業のクラウドセキュリティチームによって規定されている場合があります)。

  13. キーボールトURIを記録します。作成したキーボールトで、概要メニューに移動し、右側のカラムからVault URI をコピーします。これはあとで実行する必要があります。

暗号化キーを作成します
  1. Cloud Volumes ONTAP 用に作成したキー・ボールトのメニューで、[ Keys(キー**)]オプションに移動します。

  2. [生成/インポート]を選択して、新しいキーを作成します。

  3. デフォルトのオプションは Generate のままにしておきます。

  4. 次の情報を入力します。

    • 暗号化キー名

    • キータイプ:rsa

    • RSAキーのサイズ:2048

    • Enabled:はい

  5. [**Create]を選択して、暗号キーを作成します。

  6. [ Keys(キー**)]メニューに戻り、作成したキーを選択します。

  7. キーのプロパティを表示するには、[ Current version(現在のバージョン**)]でキーIDを選択します。

  8. [ Key Identifier(キー識別子**)]フィールドを探します。URIを16進数の文字列以外の値にコピーします。

Azure Active Directoryエンドポイントの作成(HAのみ)
  1. このプロセスは、HA Cloud Volumes ONTAP 作業環境用にAzure Key Vaultを設定する場合にのみ必要です。

  2. Azureポータルで、Virtual Networksに移動します。

  3. Cloud Volumes ONTAP 作業環境を展開した仮想ネットワークを選択し、ページの左側にある Subnets メニューを選択します。

  4. Cloud Volumes ONTAP 環境のサブネット名をリストから選択します。

  5. [サービスエンドポイント]見出しに移動します。ドロップダウンメニューで、次のいずれかを選択します。

    • Microsoft.AzureActiveDirectory

    • Microsoft.KeyVault

    • Microsoft.Storage(オプション)

      選択された3つのサービスを示すサービスエンドポイントのスクリーンショット

  6. 保存を選択して、設定を取得します。

Cloud Volumes ONTAP 構成
  1. 優先SSHクライアントを使用してクラスタ管理LIFに接続します。

  2. ONTAP でadvanced権限モードに切り替えます。
    set advanced -con off

  3. 目的のデータSVMを特定し、そのDNS設定を確認します。「vserver services name-service dns show

    1. 目的のデータSVMのDNSエントリが存在し、そのエントリにAzure DNSのエントリが含まれている場合は、対処は必要ありません。表示されない場合は、Azure DNS、プライベートDNS、またはオンプレミスサーバを指すデータSVMのDNSサーバエントリを追加します。これは、クラスタ管理SVMのエントリと一致している必要があります。vserver services name-service dns create -vserver _svm_name -domains_domain_name-servers _ip_address _'

    2. データSVM用にDNSサービスが作成されたことを確認します。vserver services name-service dns show

  4. アプリケーションの登録後に保存されたクライアントIDとテナントIDを使用して、Azure Key Vaultを有効にします。
    security key-manager external azure enable -vserver SVM_name -client-id Azure_client_ID -tenant-id Azure_tenant_ID -name key_vault_URI -key-id full_key_URI

    メモ _full_key_URI 値は、 <https:// <key vault host name>/keys/<key label> の形式で入力し
  5. Azure Key Vaultが有効になったら、 client secret value プロンプトが表示されたら、

  6. キー管理ツールのステータスを確認します。「security key-manager external Azure check」出力は次のようになります。

    ::*> security key-manager external azure check
    
    Vserver: data_svm_name
    Node: akvlab01-01
    
    Category: service_reachability
        Status: OK
    
    Category: ekmip_server
        Status: OK
    
    Category: kms_wrapped_key_status
        Status: UNKNOWN
        Details: No volumes created yet for the vserver. Wrapped KEK status will be available after creating encrypted volumes.
    
    3 entries were displayed.

    状況に応じて service_reachability ステータスがではありません `OK`では、必要なすべての接続と権限を使用してSVMがAzure Key Vaultサービスにアクセスすることはできません。Azureのネットワークポリシーとルーティングによって、プライベートVNetがAzure KeyVaultパブリックエンドポイントに到達できないようにしてください。その場合は、Azureプライベートエンドポイントを使用してVNet内からキーヴォールトにアクセスすることを検討してください。エンドポイントのプライベートIPアドレスを解決するために、SVMに静的ホストエントリを追加する必要がある場合もあります。

    kms_wrapped_key_status が報告します UNKNOWN 初期設定時。ステータスがに変わります OK 最初のボリュームが暗号化されたあと。

  7. オプション:NVEの機能を検証するテストボリュームを作成する

    vol create -vserver_svm_name_-volume_name_-aggregate _aggr_size_state online -policy default’

    正しく設定されていれば、Cloud Volumes ONTAP でボリュームが自動的に作成され、ボリューム暗号化が有効になります。

  8. ボリュームが正しく作成および暗号化されたことを確認します。その場合、「-is-encrypted」パラメータは「true」と表示されます。vol show -vserver_svm_name_-fields is-cencryptedです