クラウドプロバイダを使用してキーを管理します
-
このドキュメント ページのPDF
-
ボリューム管理
- CLI を使用した論理ストレージ管理
-
NAS ストレージ管理
-
CLIを使用したSMBの管理
- SMB を使用したファイルアクセスの管理
-
CLIを使用したSMBの管理
- セキュリティとデータ暗号化
-
ボリューム管理
PDF版ドキュメントのセット
Creating your file...
ONTAP 9.10.1 以降では、を使用できます "Azure キーボールト( AKV )" および "Google Cloud Platform のキー管理サービス( Cloud KMS )" クラウドでホストされるアプリケーションでONTAP暗号化キーを保護する。ONTAP 9.12.0以降では、を使用してNVEキーを保護することもできます "AWS KMS"。
AWS KMS、AKV、Cloud KMSを使用して保護できます "NetApp Volume Encryption ( NVE )キー" データSVMの場合のみ。
クラウドプロバイダを使用したキー管理は、CLIまたはONTAP REST APIを使用して有効にできます。
クラウドプロバイダを使用してキーを保護する場合は、デフォルトではデータSVM LIFがクラウドキー管理エンドポイントとの通信に使用されることに注意してください。ノード管理ネットワークは、クラウドプロバイダの認証サービス( login.microsoftonline.com for Azure ; oauth2.googleapis.com for Cloud KMS )との通信に使用されます。クラスタネットワークが正しく設定されていないと、クラスタでキー管理サービスが適切に利用されません。
クラウドプロバイダのキー管理サービスを利用する場合は、次の制限事項に注意してください。
-
クラウドプロバイダのキー管理は、NetApp Storage Encryption(NSE)およびNetApp Aggregate Encryption(NAE)では使用できません。 "外部 KMIP" 代わりに使用できます。
-
クラウドプロバイダのキー管理はMetroCluster構成では使用できません。
-
クラウドプロバイダのキー管理は、データSVMでのみ設定できます。
-
適切なクラウドプロバイダでKMSを設定しておく必要があります。
-
ONTAPクラスタのノードでNVEがサポートされている必要があります。
-
"Volume Encryption(VE)ライセンスとマルチテナントEncryption Key Management(MTEKM)ライセンスをインストールしておく必要があります。"です。これらのライセンスはに含まれてい"ONTAP One"ます。
-
クラスタ管理者またはSVM管理者である必要があります。
-
データSVMに暗号化されたボリュームが含まれていないか、キー管理ツールを使用していないことを確認してください。データSVMに暗号化されたボリュームが含まれている場合は、KMSを設定する前にそれらのボリュームを移行する必要があります。
外部キー管理を有効にします
外部キー管理を有効にする方法は、使用するキー管理ツールによって異なります。該当するキー管理ツールと環境のタブを選択します。
-
暗号化を管理するIAMロールで使用されるAWS KMSキーの付与を作成する必要があります。IAMロールには、次の処理を許可するポリシーが含まれている必要があります。
-
DescribeKey
-
Encrypt
-
Decrypt
[+]
詳細については、AWSのドキュメントを参照してください "助成金"。
-
-
作業を開始する前に、AWS KMSからアクセスキーIDとシークレットキーの両方を取得します。
-
権限レベルを advanced に設定します。
set -priv advanced
-
AWS KMSを有効にします。
security key-manager external aws enable -vserver svm_name -region AWS_region -key-id key_ID -encryption-context encryption_context
-
プロンプトが表示されたら、シークレットキーを入力します。
-
AWS KMSが正しく設定されたことを確認します。
security key-manager external aws show -vserver svm_name
-
作業を開始する前に、クライアントシークレットまたは証明書のいずれかで、 Azure アカウントから適切な認証クレデンシャルを取得する必要があります。
また、クラスタ内のすべてのノードが正常であることを確認する必要があります。これを確認するには、コマンドを使用しますcluster show
。 -
特権レベルをadvancedに設定します
set -priv advanced
-
SVMでAKVを有効にします
security key-manager external azure enable -client-id client_id -tenant-id tenant_id -name -key-id key_id -authentication-method {certificate|client-secret}
プロンプトが表示されたら、 Azure アカウントからクライアント証明書またはクライアントシークレットを入力します。 -
AKVが正しく有効になっていることを確認します。
security key-manager external azure show vserver svm_name
サービスの到達可能性がOKでない場合は、データSVM LIFを介したAKVキー管理サービスへの接続を確立します。
-
開始する前に、Google Cloud KMSアカウントキーファイルの秘密鍵をJSON形式で取得します。これは GCP アカウントにあります。
また、クラスタ内のすべてのノードが正常であることを確認する必要があります。これを確認するには、コマンドを使用しますcluster show
。 -
特権レベルをadvancedに設定します。
set -priv advanced
-
SVMでCloud KMSを有効にします
security key-manager external gcp enable -vserver svm_name -project-id project_id-key-ring-name key_ring_name -key-ring-location key_ring_location -key-name key_name
プロンプトが表示されたら、サービスアカウントの秘密鍵を使用して JSON ファイルの内容を入力します -
Cloud KMSが正しいパラメータで構成されていることを確認します。
security key-manager external gcp show vserver svm_name
のステータスkms_wrapped_key_status
になります“UNKNOWN”
暗号化されたボリュームが作成されていない場合。
サービスへの到達可能性がOKでない場合は、データSVM LIFを介してGCPキー管理サービスへの接続を確立します。
データSVM用にすでに暗号化されたボリュームが1つ以上設定され、管理SVMのオンボードキーマネージャで対応するNVEキーが管理されている場合は、それらのキーを外部キー管理サービスに移行する必要があります。CLIでこれを行うには、次のコマンドを実行します。
security key-manager key migrate -from-Vserver admin_SVM -to-Vserver data_SVM
データSVMのすべてのNVEキーが正常に移行されるまで、テナントのデータSVM用に暗号化された新しいボリュームを作成することはできません。