日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

GoogleのCloud Key Management Serviceを使用してキーを管理します

寄稿者

を使用できます "Google Cloud Platform のキー管理サービス( Cloud KMS )" Google Cloud Platform導入アプリケーションでONTAP 暗号化キーを保護します。

Cloud KMSを使用したキー管理は、CLIまたはONTAP REST APIを使用して有効にすることができます。

Cloud KMSを使用する際は、デフォルトでデータSVM LIFがクラウドキー管理エンドポイントとの通信に使用されることに注意してください。ノード管理ネットワークは、クラウドプロバイダの認証サービス(oauth2.googleapis.com)との通信に使用されます。クラスタネットワークが正しく設定されていないと、クラスタでキー管理サービスが適切に利用されません。

前提条件
  • Cloud Volumes ONTAP でバージョン9.10.1以降が実行されている必要があります

  • Volume Encryption ( VE )ライセンスがインストールされている

  • Multi-tenant Encryption Key Management ( MTEKM )ライセンスがインストールされています

  • クラスタ管理者またはSVMの管理者である必要があります

  • アクティブなGoogle Cloud Platformサブスクリプション

制限
  • クラウドKMSはデータSVMでのみ設定できます

設定

Google Cloud
  1. Google Cloud環境では、 "対称GCPキーリングとキーを作成します"

  2. Cloud Volumes ONTAP サービスアカウント用のカスタムロールを作成します。

    gcloud iam roles create kmsCustomRole
        --project=<project_id>
        --title=<kms_custom_role_name>
        --description=<custom_role_description>
        --permissions=cloudkms.cryptoKeyVersions.get,cloudkms.cryptoKeyVersions.list,cloudkms.cryptoKeyVersions.useToDecrypt,cloudkms.cryptoKeyVersions.useToEncrypt,cloudkms.cryptoKeys.get,cloudkms.keyRings.get,cloudkms.locations.get,cloudkms.locations.list,resourcemanager.projects.get
        --stage=GA
  3. カスタムロールをCloud KMSキーとCloud Volumes ONTAP サービスアカウントに割り当てます。「gcloud kms keys add -iam-policy binding_key_name_-- keyring_key_ring_name — location_key_location_- member serviceAccount:_service_account_Name — role project_id_id_roles/custommskmsk`key

  4. サービスアカウントのJSONキーをダウンロードします。「gcloud iam service-accounts keys create key-file --iam-account=sa-name@project-id.iam.gserviceaccount.com

Cloud Volumes ONTAP
  1. 優先SSHクライアントを使用してクラスタ管理LIFに接続します。

  2. advanced権限レベルに切り替えます:'set -privilege advanced

  3. データSVM用のDNSを作成’dns create -domains C.<プロジェクト>.internal -name-servers_server_address_-vserver _svm_name _

  4. CMEKエントリを作成します:'security key-manager external GCP enable -vserver_svm_name_project-id_project_-key-ring-name_key_ring_name_-key-ring -location_key_ring_location_-key-name_key_name_`

  5. プロンプトが表示されたら、GCPアカウントのJSONキーを入力します。

  6. 有効なプロセスが成功したことを確認します。「security key-manager external GCP check -vserver _svm_name _」

  7. オプション:暗号化「vol create _volume_name」をテストするボリュームを作成します。-aggregate-aggregate_aggregate_aggregate—​vserver vserver_name _size 10Gです

トラブルシューティングを行う

トラブルシューティングが必要な場合は、上記の最後の2つの手順でREST APIのrawログをテールできます。

  1. 「set d`」

  2. 「systemshell -node _node」コマンドtail -f /mroot/etc/log/mlog/kmip2_client.log