AWS KMS のセットアップ
変更を提案
PDF
Cloud Volumes ONTAP で Amazon 暗号化を使用する場合は、 AWS Key Management Service ( KMS )を設定する必要があります。
-
アクティブな Customer Master Key ( CMK )が存在することを確認します。
CMK は、 AWS 管理の CMK または顧客管理の CMK にすることができます。Cloud Manager および Cloud Volumes ONTAP と同じ AWS アカウントにすることも、別の AWS アカウントにすることもできます。
-
各 CMK のキーポリシーを変更します。変更するには、 Cloud Manager に a_key user_権限 を付与する IAM ロールを追加します。
IAM ロールをキーユーザとして追加すると、 Cloud Volumes ONTAP で CMK を使用する権限が Cloud Manager に付与されます。
-
CMK が別の AWS アカウントにある場合は、次の手順を実行します。
-
CMK が存在するアカウントから KMS コンソールにアクセスします。
-
キーを選択します。
-
General configuration * ペインで、キーの ARN をコピーします。
Cloud Volumes ONTAP システムの作成時には、 Cloud Manager の ARN の指定が必要になります。
-
その他の AWS アカウント * ペインで、 Cloud Manager に権限を付与する AWS アカウントを追加します。
ほとんどの場合、 Cloud Manager が配置されているアカウントです。Cloud Manager が AWS にインストールされていない場合、 Cloud Manager に AWS アクセスキーを指定したアカウントになります。
-
次に、 Cloud Manager に権限を付与する AWS アカウントに切り替えて、 IAM コンソールを開きます。
-
以下の権限を含む IAM ポリシーを作成します。
-
Cloud Manager に権限を付与する IAM ロールまたは IAM ユーザにポリシーを関連付けます。
次のポリシーは、 Cloud Manager が外部 AWS アカウントから CMK を使用するために必要な権限を提供します。「リソース」セクションで、リージョンとアカウント ID を必ず変更してください。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowUseOfTheKey", "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:us-east-1:externalaccountid:key/externalkeyid" ] }, { "Sid": "AllowAttachmentOfPersistentResources", "Effect": "Allow", "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": [ "arn:aws:kms:us-east-1:externalaccountid:key/externalaccountid" ], "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ] }+
このプロセスの詳細については、を参照してください "AWS ドキュメント:「外部 AWS アカウントによる CMK へのアクセスの許可"。 -