Skip to main content
すべてのクラウドプロバイダー
  • Amazon Web Services
  • Google Cloud
  • Microsoft Azure
  • すべてのクラウドプロバイダー
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

Google Cloud KMS でCloud Volumes ONTAP の暗号化キーを管理する

共同作成者 netapp-manini

使用できます"Google Cloud Platform の鍵管理サービス (Cloud KMS)"Google Cloud Platform にデプロイされたアプリケーションでCloud Volumes ONTAP暗号化キーを保護します。

Cloud KMS によるキー管理は、 ONTAP CLI またはONTAP REST API を使用して有効にできます。

Cloud KMS を使用する場合、デフォルトではデータ SVM の LIF を使用してクラウド キー管理エンドポイントと通信することに注意してください。ノード管理ネットワークは、クラウド プロバイダーの認証サービス (oauth2.googleapis.com) との通信に使用されます。クラスタ ネットワークが正しく設定されていないと、クラスタはキー管理サービスを適切に利用できません。

開始する前に
  • システムではCloud Volumes ONTAP 9.10.1以降が実行されている必要があります

  • データ SVM を使用する必要があります。 Cloud KMS はデータ SVM でのみ構成できます。

  • クラスタ管理者またはSVM管理者である必要があります。

  • ボリューム暗号化(VE)ライセンスをSVMにインストールする必要があります

  • Cloud Volumes ONTAP 9.12.1 GA以降では、マルチテナント暗号化キー管理(MTEKM)ライセンスもインストールする必要があります。

  • 有効な Google Cloud Platform サブスクリプションが必要です

構成

Google Cloud
  1. Google Cloud環境では、"対称GCPキーリングとキーを作成する"

  2. Cloud KMS キーとCloud Volumes ONTAPサービス アカウントにカスタム ロールを割り当てます。

    1. カスタム ロールを作成します。

      gcloud iam roles create kmsCustomRole
          --project=<project_id>
          --title=<kms_custom_role_name>
          --description=<custom_role_description>
          --permissions=cloudkms.cryptoKeyVersions.get,cloudkms.cryptoKeyVersions.list,cloudkms.cryptoKeyVersions.useToDecrypt,cloudkms.cryptoKeyVersions.useToEncrypt,cloudkms.cryptoKeys.get,cloudkms.keyRings.get,cloudkms.locations.get,cloudkms.locations.list,resourcemanager.projects.get
          --stage=GA
    2. 作成したカスタム ロールを割り当てます。
      gcloud kms keys add-iam-policy-binding key_name --keyring key_ring_name --location key_location --member serviceAccount:_service_account_Name_ --role projects/customer_project_id/roles/kmsCustomRole

      メモ Cloud Volumes ONTAP 9.13.0 以降を使用している場合は、カスタム ロールを作成する必要はありません。定義済みの[cloudkms.cryptoKeyEncrypterDecrypter^] の役割。
  3. サービス アカウントの JSON キーをダウンロードします:
    gcloud iam service-accounts keys create key-file --iam-account=sa-name@project-id.iam.gserviceaccount.com

Cloud Volumes ONTAP
  1. 好みの SSH クライアントを使用してクラスタ管理 LIF に接続します。

  2. 高度な権限レベルに切り替えます:
    set -privilege advanced

  3. データ SVM の DNS を作成します。
    dns create -domains c.<project>.internal -name-servers server_address -vserver SVM_name

  4. CMEK エントリを作成します。
    security key-manager external gcp enable -vserver SVM_name -project-id project -key-ring-name key_ring_name -key-ring-location key_ring_location -key-name key_name

  5. プロンプトが表示されたら、GCP アカウントのサービス アカウント JSON キーを入力します。

  6. 有効化されたプロセスが成功したことを確認します。
    security key-manager external gcp check -vserver svm_name

  7. オプション: 暗号化をテストするためのボリュームを作成する vol create volume_name -aggregate aggregate -vserver vserver_name -size 10G

トラブルシューティング

トラブルシューティングが必要な場合は、上記の最後の 2 つの手順で生の REST API ログを tail できます。

  1. set d

  2. systemshell -node node -command tail -f /mroot/etc/log/mlog/kmip2_client.log