Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

クラウドプロバイダを使用してキーを管理します

共同作成者
PDF

ONTAP 9.10.1 以降では、を使用できます "Azure キーボールト( AKV )" および "Google Cloud Platform のキー管理サービス( Cloud KMS )" クラウドでホストされるアプリケーションでONTAP暗号化キーを保護する。ONTAP 9.12.0以降では、を使用してNVEキーを保護することもできます "AWS KMS"

AWS KMS、AKV、Cloud KMSを使用して保護できます "NetApp Volume Encryption ( NVE )キー" データSVMの場合のみ。

このタスクについて

クラウドプロバイダを使用したキー管理は、CLIまたはONTAP REST APIを使用して有効にできます。

クラウドプロバイダを使用してキーを保護する場合は、デフォルトではデータSVM LIFがクラウドキー管理エンドポイントとの通信に使用されることに注意してください。ノード管理ネットワークは、クラウドプロバイダの認証サービス( login.microsoftonline.com for Azure ; oauth2.googleapis.com for Cloud KMS )との通信に使用されます。クラスタネットワークが正しく設定されていないと、クラスタでキー管理サービスが適切に利用されません。

クラウドプロバイダのキー管理サービスを利用する場合は、次の制限事項に注意してください。

  • クラウドプロバイダのキー管理は、NetApp Storage Encryption(NSE)およびNetApp Aggregate Encryption(NAE)では使用できません。 "外部 KMIP" 代わりに使用できます。

  • クラウドプロバイダのキー管理はMetroCluster構成では使用できません。

  • クラウドプロバイダのキー管理は、データSVMでのみ設定できます。

作業を開始する前に

外部キー管理を有効にします

外部キー管理を有効にする方法は、使用するキー管理ツールによって異なります。該当するキー管理ツールと環境のタブを選択します。

AWS
作業を開始する前に

  • 暗号化を管理するIAMロールで使用されるAWS KMSキーの付与を作成する必要があります。IAMロールには、次の処理を許可するポリシーが含まれている必要があります。

    • DescribeKey

    • Encrypt

    • Decrypt
      [+]
      詳細については、AWSのドキュメントを参照してください "助成金"

ONTAP SVMでAWS KMVを有効にします

  1. 作業を開始する前に、AWS KMSからアクセスキーIDとシークレットキーの両方を取得します。

  2. 権限レベルを advanced に設定します。
    set -priv advanced

  3. AWS KMSを有効にします。
    security key-manager external aws enable -vserver svm_name -region AWS_region -key-id key_ID -encryption-context encryption_context

  4. プロンプトが表示されたら、シークレットキーを入力します。

  5. AWS KMSが正しく設定されたことを確認します。
    security key-manager external aws show -vserver svm_name

Azure
ONTAP SVMでAzure Key Vaultを有効にします

  1. 作業を開始する前に、クライアントシークレットまたは証明書のいずれかで、 Azure アカウントから適切な認証クレデンシャルを取得する必要があります。
    また、クラスタ内のすべてのノードが正常であることを確認する必要があります。これを確認するには、コマンドを使用します cluster show

  2. 特権レベルをadvancedに設定します
    set -priv advanced

  3. SVMでAKVを有効にします
    security key-manager external azure enable -client-id client_id -tenant-id tenant_id -name -key-id key_id -authentication-method {certificate|client-secret}
    プロンプトが表示されたら、 Azure アカウントからクライアント証明書またはクライアントシークレットを入力します。

  4. AKVが正しく有効になっていることを確認します。
    security key-manager external azure show vserver svm_name
    サービスの到達可能性がOKでない場合は、データSVM LIFを介したAKVキー管理サービスへの接続を確立します。

Google Cloud
ONTAP SVMでCloud KMSを有効にします

  1. 開始する前に、Google Cloud KMSアカウントキーファイルの秘密鍵をJSON形式で取得します。これは GCP アカウントにあります。
    また、クラスタ内のすべてのノードが正常であることを確認する必要があります。これを確認するには、コマンドを使用します cluster show

  2. 特権レベルをadvancedに設定します。
    set -priv advanced

  3. SVMでCloud KMSを有効にします
    security key-manager external gcp enable -vserver svm_name -project-id project_id-key-ring-name key_ring_name -key-ring-location key_ring_location -key-name key_name
    プロンプトが表示されたら、サービスアカウントの秘密鍵を使用して JSON ファイルの内容を入力します

  4. Cloud KMSが正しいパラメータで構成されていることを確認します。
    security key-manager external gcp show vserver svm_name
    のステータス kms_wrapped_key_status になります “UNKNOWN” 暗号化されたボリュームが作成されていない場合。
    サービスへの到達可能性がOKでない場合は、データSVM LIFを介してGCPキー管理サービスへの接続を確立します。

データSVM用にすでに暗号化されたボリュームが1つ以上設定され、管理SVMのオンボードキーマネージャで対応するNVEキーが管理されている場合は、それらのキーを外部キー管理サービスに移行する必要があります。CLIでこれを行うには、次のコマンドを実行します。
security key-manager key migrate -from-Vserver admin_SVM -to-Vserver data_SVM
データSVMのすべてのNVEキーが正常に移行されるまで、テナントのデータSVM用に暗号化された新しいボリュームを作成することはできません。

関連情報