Skip to main content
すべてのクラウドプロバイダ
  • Amazon Web Services の
  • Google Cloud
  • Microsoft Azure
  • すべてのクラウドプロバイダ
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

Google Cloud KMSを使用したCloud Volumes ONTAP暗号化キーの管理

共同作成者 netapp-ahibbard netapp-manini netapp-driley netapp-bcammett netapp-rlithman
PDF

を使用して、Google Cloud Platformに導入されたアプリケーションでCloud Volumes ONTAP暗号化キーを保護できます"Google Cloud Platform のキー管理サービス( Cloud KMS )"

Cloud KMSを使用したキー管理は、ONTAP CLIまたはONTAP REST APIを使用して有効にできます。

Cloud KMSを使用する場合は、デフォルトではデータSVMのLIFがクラウドキー管理エンドポイントとの通信に使用されることに注意してください。ノード管理ネットワークは、クラウドプロバイダの認証サービス(oauth2.googleapis.com)との通信に使用されます。クラスタネットワークが正しく設定されていないと、クラスタでキー管理サービスが適切に利用されません。

作業を開始する前に

  • システムではCloud Volumes ONTAP 9.10.1以降が実行されている必要があります

  • データ SVM を使用する必要があります。CloudKMS はデータ SVM でのみ構成できます。

  • クラスタ管理者またはSVMの管理者である必要があります

  • ボリューム暗号化(VE)ライセンスをSVMにインストールする必要があります

  • Cloud Volumes ONTAP 9.12.1 GA以降では、マルチテナント暗号化キー管理(MTEKM)ライセンスもインストールする必要があります。

  • 有効な Google Cloud Platform サブスクリプションが必要です

設定

Google Cloud

  1. Google Cloud環境では、 "対称GCPキーリングとキーを作成します"

  2. Cloud KMS キーと Cloud Volumes ONTAP サービス アカウントにカスタム ロールを割り当てます。

    1. カスタム ロールを作成します。

      gcloud iam roles create kmsCustomRole
    --project=<project_id>
    --title=<kms_custom_role_name>
    --description=<custom_role_description>
    --permissions=cloudkms.cryptoKeyVersions.get,cloudkms.cryptoKeyVersions.list,cloudkms.cryptoKeyVersions.useToDecrypt,cloudkms.cryptoKeyVersions.useToEncrypt,cloudkms.cryptoKeys.get,cloudkms.keyRings.get,cloudkms.locations.get,cloudkms.locations.list,resourcemanager.projects.get
    --stage=GA

    2. 作成したカスタム ロールを割り当てます。
      gcloud kms keys add-iam-policy-binding key_name --keyring key_ring_name --location key_location --member serviceAccount:_service_account_Name_ --role projects/customer_project_id/roles/kmsCustomRole

      メモ Cloud Volumes ONTAP 9.13.0以降をご利用の場合は、カスタムロールを作成する必要はありません。[cloudkms.cryptoKeyEncrypterDecrypter ^]の役割。

  3. サービスアカウントのJSONキーをダウンロードします。「gcloud iam service-accounts keys create key-file --iam-account=sa-name@project-id.iam.gserviceaccount.com

Cloud Volumes ONTAP

  1. 優先SSHクライアントを使用してクラスタ管理LIFに接続します。

  2. advanced権限レベルに切り替えます:'set -privilege advanced

  3. データSVM用のDNSを作成'dns create -domains C.<プロジェクト>.internal -name-servers_server_address_-vserver _svm_name _

  4. CMEKエントリを作成します:'security key-manager external GCP enable -vserver_svm_name_project-id_project_-key-ring-name_key_ring_name_-key-ring -location_key_ring_location_-key-name_key_name_`

  5. プロンプトが表示されたら、GCPアカウントのJSONキーを入力します。

  6. 有効なプロセスが成功したことを確認します。「security key-manager external GCP check -vserver _svm_name _」

  7. オプション:暗号化「vol create _volume_name」をテストするボリュームを作成します。-aggregate-aggregate_aggregate_aggregate—​vserver vserver_name _size 10Gです

トラブルシューティングを行う

トラブルシューティングが必要な場合は、上記の最後の2つの手順でREST APIのrawログをテールできます。

  1. 「set d`」

  2. 「systemshell -node _node」コマンドtail -f /mroot/etc/log/mlog/kmip2_client.log