クラウドプロバイダを使用したキーの管理
変更を提案
PDF
ONTAP 9 .10.1以降では、と"Google Cloud Platform のキー管理サービス( Cloud KMS )"を使用して、クラウドホストアプリケーションでONTAP暗号化キーを保護できます"Azure キーボールト( AKV )"。NVEキーは、ONTAP 9 .12.0以降で保護することもできます"AWS KMS"。
AWS KMS、AKV、およびCloud KMSを使用して保護"NetApp Volume Encryption ( NVE )キー"できるのは、データSVMの場合のみです。
クラウドプロバイダを使用したキー管理は、CLIまたはONTAP REST APIを使用して有効にできます。
クラウドプロバイダを使用してキーを保護する場合は、デフォルトではデータSVM LIFがクラウドキー管理エンドポイントとの通信に使用されることに注意してください。ノード管理ネットワークは、クラウドプロバイダの認証サービス(Azureの場合はlogin.microsoftonline.com、Cloud KMSの場合はoauth2.googleapis.com)との通信に使用されます。クラスタネットワークが正しく設定されていないと、クラスタでキー管理サービスが適切に利用されません。
クラウドプロバイダのキー管理サービスを利用する場合は、次の制限事項に注意してください。
-
クラウドプロバイダのキー管理は、NetApp Storage Encryption(NSE)およびNetApp Aggregate Encryption(NAE)では使用できません。"外部 KMIP"代わりに使用できます。
-
クラウドプロバイダのキー管理はMetroCluster構成では使用できません。
-
クラウドプロバイダのキー管理は、データSVMでのみ設定できます。
-
適切なクラウドプロバイダでKMSを設定しておく必要があります。
-
ONTAPクラスタのノードでNVEがサポートされている必要があります。
-
"Volume Encryption(VE)ライセンスとマルチテナントEncryption Key Management(MTEKM)ライセンスをインストールしておく必要があります。"です。これらのライセンスはに含まれてい"ONTAP One"ます。
-
クラスタ管理者またはSVM管理者である必要があります。
-
データSVMに暗号化されたボリュームが含まれていないことと、キー管理ツールを使用していないことを確認してください。データSVMに暗号化されたボリュームが含まれている場合は、KMSを設定する前にそれらのボリュームを移行する必要があります。
外部キー管理の有効化
外部キー管理を有効にする方法は、使用するキー管理ツールによって異なります。適切なキー管理ツールと環境のタブを選択します。
-
暗号化を管理するIAMロールで使用されるAWS KMSキーの付与を作成する必要があります。IAMロールには、次の処理を許可するポリシーが含まれている必要があります。
-
DescribeKey -
Encrypt -
Decrypt+詳細については、AWSのドキュメントを参照してください"助成金"。
-
-
作業を開始する前に、AWS KMSからアクセスキーIDとシークレットキーの両方を取得します。
-
権限レベルをadvancedに設定します。
set -priv advanced -
AWS KMSを有効にします。
security key-manager external aws enable -vserver svm_name -region AWS_region -key-id key_ID -encryption-context encryption_context -
プロンプトが表示されたら、シークレットキーを入力します。
-
AWS KMSが正しく設定されたことを確認します。
security key-manager external aws show -vserver svm_name
-
開始する前に、適切な認証クレデンシャル(クライアントシークレットまたは証明書)をAzureアカウントから取得する必要があります。また、クラスタ内のすべてのノードが正常であることを確認する必要があります。これを確認するには、コマンドを使用し `cluster show`ます。
-
特権レベルをadvancedに設定
set -priv advanced -
SVMでAKVを有効にする
`security key-manager external azure enable -client-id client_id -tenant-id tenant_id -name -key-id key_id -authentication-method {certificate|client-secret}`プロンプトが表示されたら、クライアント証明書またはAzureアカウントのクライアントシークレットのいずれかを入力します。 -
AKVが正しく有効になっていることを確認します。
`security key-manager external azure show vserver svm_name`サービスの到達可能性がOKでない場合は、データSVM LIFを介してAKVキー管理サービスへの接続を確立します。
-
作業を開始する前に、Google Cloud KMSアカウント キー ファイルの秘密鍵をJSON形式で取得しておきます。これはGCPアカウントから入手できます。また、クラスタ内のすべてのノードが健全であることを確認する必要があります。これを確認するには、コマンドを使用し `cluster show`ます。
-
特権レベルをadvancedに設定します。
set -priv advanced -
SVMでCloud KMSを有効にする
`security key-manager external gcp enable -vserver svm_name -project-id project_id-key-ring-name key_ring_name -key-ring-location key_ring_location -key-name key_name`プロンプトが表示されたら、JSONファイルの内容とサービスアカウントの秘密鍵を入力します。 -
Cloud KMSが正しいパラメータで構成されていることを確認します。
security key-manager external gcp show vserver svm_name`暗号化されたボリュームが作成されていない場合は、のステータス `kms_wrapped_key_status`がになります `“UNKNOWN”。サービスの到達可能性がOKでない場合は、データSVM LIFを介してGCPキー管理サービスへの接続を確立します。
データSVMに対して暗号化されたボリュームがすでに設定されていて、対応するNVEキーが管理SVMのオンボードキーマネージャで管理されている場合は、それらのキーを外部のキー管理サービスに移行する必要があります。これにはCLIを使用して次のコマンドを実行します。
`security key-manager key migrate -from-Vserver admin_SVM -to-Vserver data_SVM`データSVMのすべてのNVEキーが正常に移行されるまで、テナントのデータSVM用に暗号化された新しいボリュームを作成できません。