クラウド プロバイダを使用したONTAP データSVMのNVEキーの管理
変更を提案
PDF
ONTAP 9.10.1以降では、"Azure Key Vault(AKV)"と"Google Cloud Platform の Key Management Service(Cloud KMS)"を使用して、クラウドホスト型アプリケーションでONTAP暗号化キーを保護できます。ONTAP 9.12.0以降では、"AWSのKMS"を使用してNVEキーを保護することもできます。
AWS KMS、AKV、Cloud KMS は、データ SVM の"NetApp Volume Encryption(NVE)キー"の保護にのみ使用できます。
クラウド プロバイダによるキー管理は、CLIまたはONTAP REST APIを使用して有効にすることができます。
クラウド プロバイダを使用してキーを保護する場合、クラウドキー管理エンドポイントとの通信にはデフォルトでデータSVM LIFが使用されることに注意してください。クラウド プロバイダの認証サービス(Azureの場合はlogin.microsoftonline.com、Cloud KMSの場合はoauth2.googleapis.com)との通信にはノード管理ネットワークが使用されます。クラスタ ネットワークが正しく設定されていない場合、クラスタはキー管理サービスを適切に使用できません。
クラウド プロバイダのキー管理サービスを利用する場合は、次の制限事項に注意してください。
-
クラウド プロバイダ キー管理は、NetApp Storage Encryption(NSE)およびNetApp Aggregate Encryption(NAE)では使用できません。代わりに"外部KMIP"を使用できます。
-
クラウド プロバイダによるキー管理は、MetroCluster構成では利用できません。
-
クラウド プロバイダによるキー管理を設定できるのは、データSVMのみです。
-
適切なクラウド プロバイダでKMSを設定しておく必要があります。
-
ONTAPクラスタのノードでNVEがサポートされている必要があります。
-
"ボリューム暗号化(VE)ライセンスとマルチテナント暗号化キー管理(MTEKM)ライセンスがインストールされている必要があります。"。これらのライセンスは"ONTAP One"に含まれています。
-
クラスタ管理者またはSVM管理者である必要があります。
-
データSVMに暗号化されたボリュームが含まれていないことと、キー管理ツールを使用していないことを確認してください。データSVMに暗号化されたボリュームが含まれている場合は、KMSを設定する前にそれらのボリュームを移行する必要があります。
外部キー管理の有効化
外部キー管理を有効にする方法は、使用するキー管理ツールによって異なります。適切なキー管理ツールと環境のタブを選択します。
-
暗号化を管理するIAMロールで使用されるAWS KMSキーに対応するグラントを作成する必要があります。IAMロールには、次の処理を許可するポリシーが含まれている必要があります。
-
DescribeKey -
Encrypt -
Decrypt+ 詳細については、"助成金"のAWSドキュメントを参照してください。
-
-
作業を開始する前に、AWS KMSからアクセスキーIDとシークレット キーを取得しておきます。
-
権限レベルを advanced に設定します:
set -priv advanced -
AWS KMS を有効にする:
security key-manager external aws enable -vserver svm_name -region AWS_region -key-id key_ID -encryption-context encryption_context -
プロンプトが表示されたら、シークレット キーを入力します。
-
AWS KMS が正しく設定されていることを確認します:
security key-manager external aws show -vserver svm_name`security key-manager external aws`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/search.html?q=security+key-manager+external+aws["ONTAPコマンド リファレンス"^]を参照してください。
-
始める前に、Azureアカウントから適切な認証クレデンシャル(クライアントシークレットまたは証明書)を取得する必要があります。また、クラスター内のすべてのノードが正常であることを確認する必要があります。これは次のコマンドで確認できます
cluster show。 `cluster show`の詳細については、"ONTAPコマンド リファレンス"を参照してください。 -
権限レベルを advanced に設定します
set -priv advanced -
SVM で AKV を有効にします。 `security key-manager external azure enable -client-id client_id -tenant-id tenant_id -name -key-id key_id -authentication-method {certificate|client-secret}`プロンプトが表示されたら、Azure アカウントのクライアント証明書またはクライアント シークレットを入力します。
-
AKV が正しく有効化されていることを確認します: `security key-manager external azure show vserver svm_name`サービスの到達可能性が正常でない場合は、データ SVM LIF を介して AKV キー管理サービスへの接続を確立します。
`security key-manager external azure`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/search.html?q=security+key-manager+external+azure["ONTAPコマンド リファレンス"^]を参照してください。
-
始める前に、Google Cloud KMSアカウントキーファイルの秘密鍵をJSON形式で取得してください。これはGCPアカウントで確認できます。また、クラスタ内のすべてのノードが正常であることを確認する必要があります。これはコマンド `cluster show`で確認できます。 `cluster show`の詳細については、"ONTAPコマンド リファレンス"を参照してください。
-
特権レベルを詳細に設定します:
set -priv advanced -
SVMでCloud KMSを有効にする `security key-manager external gcp enable -vserver svm_name -project-id project_id-key-ring-name key_ring_name -key-ring-location key_ring_location -key-name key_name`プロンプトが表示されたら、Service Account Private Keyを含むJSONファイルの内容を入力します
-
Cloud KMS が正しいパラメータで設定されていることを確認してください:
security key-manager external gcp show vserver svm_name`kms_wrapped_key_status`のステータスは、暗号化されたボリュームが作成されていない場合、 `"UNKNOWN"`になります。サービス到達可能性が OK でない場合は、データ SVM LIF を介して GCP 鍵管理サービスへの接続を確立してください。`security key-manager external gcp`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/search.html?q=security+key-manager+external+gcp["ONTAPコマンド リファレンス"^]を参照してください。
データSVMに1つ以上の暗号化ボリュームがすでに設定されており、対応するNVEキーが管理SVMのオンボードキーマネージャによって管理されている場合は、それらのキーを外部キー管理サービスに移行する必要があります。CLIでこれを行うには、次のコマンドを実行します: `security key-manager key migrate -from-Vserver admin_SVM -to-Vserver data_SVM`データSVMのすべてのNVEキーが正常に移行されるまで、テナントのデータSVMに新しい暗号化ボリュームを作成することはできません。