Azure でお客様が管理するキーを使用するように Cloud Volumes ONTAP を設定します
Azure の Cloud Volumes ONTAP では、 Microsoft 管理キーを使用して Azure Storage Service Encryption でデータが自動的に暗号化されます。ただし、このページの手順に従って独自の暗号化キーを使用することもできます。
データ暗号化の概要
Cloud Volumes ONTAPデータは、を使用してAzureで自動的に暗号化されます "Azure Storage Service Encryption の略"。デフォルトの実装では、 Microsoft が管理するキーが使用されます。セットアップは必要ありません。
Cloud Volumes ONTAP で顧客管理キーを使用する場合は、次の手順を実行する必要があります。
-
Azure で、キーヴォールトを作成し、そのヴォールトでキーを生成します。
-
BlueXPから'APIを使用して'キーを使用するCloud Volumes ONTAP 作業環境を作成します
キーローテーション
キーの新しいバージョンを作成すると、 Cloud Volumes ONTAP では自動的に最新のキーバージョンが使用されます。
データの暗号化方法
BlueXPではディスク暗号化セットを使用します。これにより、ページブロブではなく管理対象ディスクを使用して暗号化キーを管理できます。新しいデータディスクでも同じディスク暗号化セットが使用されます。下位バージョンでは、顧客管理キーの代わりにMicrosoft管理キーが使用されます。
お客様が管理するキーを使用するように設定された Cloud Volumes ONTAP 作業環境を作成すると、 Cloud Volumes ONTAP データは次のように暗号化されます。
Cloud Volumes ONTAP 構成 | キーの暗号化に使用されるシステムディスク | キーの暗号化に使用されるデータディスク |
---|---|---|
シングルノード |
|
|
ページBLOBを含むAzure HA単一アベイラビリティゾーン |
|
なし |
共有管理対象ディスクを使用するAzure HA単一アベイラビリティゾーン |
|
|
Azure HA:共有管理対象ディスクを使用する複数のアベイラビリティゾーン |
|
|
Cloud Volumes ONTAP 用のすべての Azure ストレージアカウントは、お客様が管理するキーを使用して暗号化されます。作成時にストレージアカウントを暗号化する場合は、Cloud Volumes ONTAP 作成要求でリソースのIDを作成して指定する必要があります。これは、すべてのタイプの導入に当てはまります。提供しない場合でもストレージアカウントは暗号化されますが、BlueXPはまずMicrosoftが管理するキー暗号化を使用してストレージアカウントを作成し、次にストレージアカウントを更新してお客様が管理するキーを使用するようにします。
ユーザーが割り当てた管理IDを作成します
ユーザーが割り当てた管理IDと呼ばれるリソースを作成することもできます。これにより、Cloud Volumes ONTAP作業環境の作成時にストレージアカウントを暗号化できます。キーボールトを作成してキーを生成する前に、このリソースを作成することをお勧めします。
リソースのIDは次のとおりです。 userassignedidentity
。
-
Azureで、Azureサービスに移動し、* Managed Identities *を選択します。
-
[ 作成( Create ) ] をクリックします。
-
次の詳細を入力します。
-
サブスクリプション:サブスクリプションを選択します。コネクタサブスクリプションと同じサブスクリプションを選択することをお勧めします。
-
リソースグループ:既存のリソースグループを使用するか、新しいリソースグループを作成します。
-
リージョン:必要に応じて、コネクタと同じリージョンを選択します。
-
名前:リソースの名前を入力します。
-
-
必要に応じて、タグを追加します。
-
[ 作成( Create ) ] をクリックします。
キーボールトを作成し、キーを生成します
キーヴォールトは、 Cloud Volumes ONTAP システムを作成するときと同じ Azure サブスクリプションとリージョンに配置する必要があります。
あなたの場合 ユーザーが割り当てた管理IDを作成しました、キーヴォールトの作成時に、キーヴォールトのアクセスポリシーも作成する必要があります。
-
"Azure サブスクリプションでキーヴォールトを作成します"。
キーヴォールトの次の要件に注意してください。
-
キーヴォールトは、 Cloud Volumes ONTAP システムと同じリージョンに配置する必要があります。
-
次のオプションを有効にする必要があります。
-
* Soft -delete * (このオプションはデフォルトで有効ですが、 DISABLE_NOT BE 無効にする必要があります)
-
* パージ保護 *
-
* Azure Disk Encryptionでボリュームを暗号化*(シングルノードシステム、複数ゾーンのHAペア、HA単一AZ環境)
Azureのお客様が管理する暗号化キーを使用するには、キーヴォールトでAzure Diskの暗号化が有効になっている必要があります。
-
-
ユーザが割り当てた管理IDを作成した場合は、次のオプションを有効にする必要があります。
-
バックアップアクセスポリシー
-
-
-
バックアップアクセスポリシーを選択した場合は、[作成]をクリックしてキーバックアップのアクセスポリシーを作成します。そうでない場合は、手順3に進みます。
-
次の権限を選択します。
-
取得
-
リスト
-
復号化します
-
暗号化
-
キーのラップを解除します
-
ラップキー
-
検証
-
サインだ
-
-
ユーザーが割り当てた管理ID(リソース)をプリンシパルとして選択します。
-
アクセスポリシーを確認して作成します。
-
-
キーに関する次の要件に注意してください。
-
キータイプは * rsa * である必要があります。
-
推奨される RSA キー・サイズは 2048 ですが、それ以外のサイズもサポートされます。
-
暗号化キーを使用する作業環境を作成します
キーヴォールトを作成して暗号化キーを生成したら、そのキーを使用するように設定した新しい Cloud Volumes ONTAP システムを作成できます。これらの手順は、BlueXP APIを使用してサポートされています。
シングルノードのCloud Volumes ONTAP システムで顧客管理キーを使用する場合は、BlueXP Connectorに次の権限があることを確認します。
"Microsoft.Compute/diskEncryptionSets/read",
"Microsoft.Compute/diskEncryptionSets/write",
"Microsoft.Compute/diskEncryptionSets/delete"
"Microsoft.KeyVault/vaults/deploy/action",
"Microsoft.KeyVault/vaults/read",
"Microsoft.KeyVault/vaults/accessPolicies/write",
"Microsoft.ManagedIdentity/userAssignedIdentities/assign/action"
-
次のBlueXP API呼び出しを使用して、Azureサブスクリプション内の主要なボルトのリストを取得します。
HA ペアの場合:「 GET /azure-ha/ma/metadata/vaults 」
シングルノードの場合:「 GET /azure-vsa/metadata/vaults 」
-
name * および * resourcegroup * をメモします。次の手順でこれらの値を指定する必要があります。
-
-
次のBlueXP API呼び出しを使用して、ボルト内のキーのリストを取得します。
HA ペアの場合:「 GET /azure-ha/ma/metadata/keys - vault 」
シングルノードの場合:「 get/azure-vsa/metadata/keys - vault 」
-
keyName * をメモします。次のステップで、その値(ボルト名とともに)を指定する必要があります。
-
-
次のBlueXP API呼び出しを使用してCloud Volumes ONTAP システムを作成します
-
HA ペアの場合:
「 POST/Azure/HA/ 作業環境」
要求の本文には次のフィールドを含める必要があります。
"azureEncryptionParameters": { "key": "keyName", "vaultName": "vaultName" }
を含めます "userAssignedIdentity": " userAssignedIdentityId"
フィールド:ストレージアカウントの暗号化に使用するリソースを作成した場合。 -
シングルノードシステムの場合:
「 POST/Azure/VSA/Working-Environments 」
要求の本文には次のフィールドを含める必要があります。
"azureEncryptionParameters": { "key": "keyName", "vaultName": "vaultName" }
を含めます "userAssignedIdentity": " userAssignedIdentityId"
フィールド:ストレージアカウントの暗号化に使用するリソースを作成した場合。
-
新しい Cloud Volumes ONTAP システムで、お客様が管理するキーを使用してデータを暗号化するように設定しておきます。