Skip to main content
すべてのクラウドプロバイダ
  • Amazon Web Services の
  • Google Cloud
  • Microsoft Azure
  • すべてのクラウドプロバイダ
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

Azure でお客様が管理するキーを使用するように Cloud Volumes ONTAP を設定します

共同作成者 netapp-manini netapp-rlithman netapp-bcammett netapp-driley
PDF

Azure の Cloud Volumes ONTAP では、 Microsoft 管理キーを使用して Azure Storage Service Encryption でデータが自動的に暗号化されます。ただし、このページの手順に従って独自の暗号化キーを使用することもできます。

データ暗号化の概要

Cloud Volumes ONTAPデータは、を使用してAzureで自動的に暗号化されます "Azure Storage Service Encryption の略"。デフォルトの実装では、 Microsoft が管理するキーが使用されます。セットアップは必要ありません。

Cloud Volumes ONTAP で顧客管理キーを使用する場合は、次の手順を実行する必要があります。

  1. Azure で、キーヴォールトを作成し、そのヴォールトでキーを生成します。

  2. BlueXPから'APIを使用して'キーを使用するCloud Volumes ONTAP 作業環境を作成します

データの暗号化方法

BlueXPではディスク暗号化セットを使用します。これにより、ページブロブではなく管理対象ディスクを使用して暗号化キーを管理できます。新しいデータディスクでも同じディスク暗号化セットが使用されます。下位バージョンでは、顧客管理キーの代わりにMicrosoft管理キーが使用されます。

お客様が管理するキーを使用するように設定された Cloud Volumes ONTAP 作業環境を作成すると、 Cloud Volumes ONTAP データは次のように暗号化されます。

Cloud Volumes ONTAP 構成 キーの暗号化に使用されるシステムディスク キーの暗号化に使用されるデータディスク

シングルノード

  • ブート

  • コア

  • NVRAM

  • root

  • データ

ページBLOBを含むAzure HA単一アベイラビリティゾーン

  • ブート

  • コア

  • NVRAM

なし

共有管理対象ディスクを使用するAzure HA単一アベイラビリティゾーン

  • ブート

  • コア

  • NVRAM

  • root

  • データ

Azure HA:共有管理対象ディスクを使用する複数のアベイラビリティゾーン

  • ブート

  • コア

  • NVRAM

  • root

  • データ

Cloud Volumes ONTAP 用のすべての Azure ストレージアカウントは、お客様が管理するキーを使用して暗号化されます。作成時にストレージアカウントを暗号化する場合は、Cloud Volumes ONTAP 作成要求でリソースのIDを作成して指定する必要があります。これは、すべてのタイプの導入に当てはまります。提供しない場合でもストレージアカウントは暗号化されますが、BlueXPはまずMicrosoftが管理するキー暗号化を使用してストレージアカウントを作成し、次にストレージアカウントを更新してお客様が管理するキーを使用するようにします。

Cloud Volumes ONTAPでのキーローテーション

暗号化キーを構成する際は、Azureポータルを使用して自動キーローテーションを設定および有効化する必要があります。新しいバージョンの暗号化キーを作成して有効化することで、Cloud Volumes ONTAPは最新のキーバージョンを自動的に検出し、暗号化に使用できるようになり、手動による介入を必要とせずにデータのセキュリティを確保できます。

キーの設定とキーローテーションの設定の詳細については、Microsoft Azureの次のドキュメントトピックを参照してください。

メモ キーを設定したら、次の項目を選択したことを確認してください。 "自動回転を有効にする" 、これにより、Cloud Volumes ONTAPは以前のキーの有効期限が切れたときに新しいキーを使用できるようになります。Azureポータルでこのオプションを有効にしないと、Cloud Volumes ONTAPは新しいキーを自動的に検出できず、ストレージのプロビジョニングで問題が発生する可能性があります。

ユーザーが割り当てた管理IDを作成します

ユーザーが割り当てた管理IDと呼ばれるリソースを作成することもできます。これにより、Cloud Volumes ONTAP作業環境の作成時にストレージアカウントを暗号化できます。キーボールトを作成してキーを生成する前に、このリソースを作成することをお勧めします。

リソースのIDは次のとおりです。 userassignedidentity

手順

  1. Azureで、Azureサービスに移動し、* Managed Identities *を選択します。

  2. [ 作成( Create ) ] をクリックします。

  3. 次の詳細を入力します。

    • サブスクリプション:サブスクリプションを選択します。コネクタサブスクリプションと同じサブスクリプションを選択することをお勧めします。

    • リソースグループ:既存のリソースグループを使用するか、新しいリソースグループを作成します。

    • リージョン:必要に応じて、コネクタと同じリージョンを選択します。

    • 名前:リソースの名前を入力します。

  4. 必要に応じて、タグを追加します。

  5. [ 作成( Create ) ] をクリックします。

キーボールトを作成し、キーを生成します

キーヴォールトは、 Cloud Volumes ONTAP システムを作成するときと同じ Azure サブスクリプションとリージョンに配置する必要があります。

あなたの場合 ユーザーが割り当てた管理IDを作成しました、キーヴォールトの作成時に、キーヴォールトのアクセスポリシーも作成する必要があります。

手順

  1. "Azure サブスクリプションでキーヴォールトを作成します"

    キーヴォールトの次の要件に注意してください。

    • キーヴォールトは、 Cloud Volumes ONTAP システムと同じリージョンに配置する必要があります。

    • 次のオプションを有効にする必要があります。

      • * Soft -delete * (このオプションはデフォルトで有効ですが、 DISABLE_NOT BE 無効にする必要があります)

      • * パージ保護 *

      • * Azure Disk Encryptionでボリュームを暗号化*(シングルノードシステム、複数ゾーンのHAペア、HA単一AZ環境)

        メモ Azureのお客様が管理する暗号化キーを使用するには、キーヴォールトでAzure Diskの暗号化が有効になっている必要があります。

    • ユーザが割り当てた管理IDを作成した場合は、次のオプションを有効にする必要があります。

      • バックアップアクセスポリシー

  2. バックアップアクセスポリシーを選択した場合は、[作成]をクリックしてキーバックアップのアクセスポリシーを作成します。そうでない場合は、手順3に進みます。

    1. 次の権限を選択します。

      • 取得

      • リスト

      • 復号化します

      • 暗号化

      • キーのラップを解除します

      • ラップキー

      • 検証

      • サインだ

    2. ユーザーが割り当てた管理ID(リソース)をプリンシパルとして選択します。

    3. アクセスポリシーを確認して作成します。

  3. "キーボールトでキーを生成します"

    キーに関する次の要件に注意してください。

    • キータイプは * rsa * である必要があります。

    • 推奨される RSA キー・サイズは 2048 ですが、それ以外のサイズもサポートされます。

暗号化キーを使用する作業環境を作成します

キーヴォールトを作成して暗号化キーを生成したら、そのキーを使用するように設定した新しい Cloud Volumes ONTAP システムを作成できます。これらの手順は、BlueXP APIを使用してサポートされています。

必要な権限

シングルノードのCloud Volumes ONTAP システムで顧客管理キーを使用する場合は、BlueXP Connectorに次の権限があることを確認します。

"Microsoft.Compute/diskEncryptionSets/read",
"Microsoft.Compute/diskEncryptionSets/write",
"Microsoft.Compute/diskEncryptionSets/delete"
"Microsoft.KeyVault/vaults/deploy/action",
"Microsoft.KeyVault/vaults/read",
"Microsoft.KeyVault/vaults/accessPolicies/write",
"Microsoft.ManagedIdentity/userAssignedIdentities/assign/action"

"権限の最新のリストを表示します"

手順

  1. 次のBlueXP API呼び出しを使用して、Azureサブスクリプション内の主要なボルトのリストを取得します。

    HA ペアの場合:「 GET /azure-ha/ma/metadata/vaults 」

    シングルノードの場合:「 GET /azure-vsa/metadata/vaults 」

    • name * および * resourcegroup * をメモします。次の手順でこれらの値を指定する必要があります。

    "この API 呼び出しの詳細を確認してください"

  2. 次のBlueXP API呼び出しを使用して、ボルト内のキーのリストを取得します。

    HA ペアの場合:「 GET /azure-ha/ma/metadata/keys - vault 」

    シングルノードの場合:「 get/azure-vsa/metadata/keys - vault 」

    • keyName * をメモします。次のステップで、その値(ボルト名とともに)を指定する必要があります。

    "この API 呼び出しの詳細を確認してください"

  3. 次のBlueXP API呼び出しを使用してCloud Volumes ONTAP システムを作成します

    1. HA ペアの場合:

      「 POST/Azure/HA/ 作業環境」

      要求の本文には次のフィールドを含める必要があります。

      "azureEncryptionParameters": {
              "key": "keyName",
              "vaultName": "vaultName"
}
      メモ を含めます "userAssignedIdentity": " userAssignedIdentityId" フィールド:ストレージアカウントの暗号化に使用するリソースを作成した場合。

      "この API 呼び出しの詳細を確認してください"

    2. シングルノードシステムの場合:

      「 POST/Azure/VSA/Working-Environments 」

      要求の本文には次のフィールドを含める必要があります。

      "azureEncryptionParameters": {
              "key": "keyName",
              "vaultName": "vaultName"
}
      メモ を含めます "userAssignedIdentity": " userAssignedIdentityId" フィールド:ストレージアカウントの暗号化に使用するリソースを作成した場合。

    "この API 呼び出しの詳細を確認してください"

結果

新しい Cloud Volumes ONTAP システムで、お客様が管理するキーを使用してデータを暗号化するように設定しておきます。