GoogleのCloud Key Management Serviceを使用してキーを管理します
を使用できます "Google Cloud Platform のキー管理サービス( Cloud KMS )" Google Cloud Platform導入アプリケーションでONTAP 暗号化キーを保護します。
Cloud KMSを使用したキー管理は、CLIまたはONTAP REST APIを使用して有効にすることができます。
Cloud KMSを使用する場合は、デフォルトではデータSVMのLIFがクラウドキー管理エンドポイントとの通信に使用されることに注意してください。ノード管理ネットワークは、クラウドプロバイダの認証サービス(oauth2.googleapis.com)との通信に使用されます。クラスタネットワークが正しく設定されていないと、クラスタでキー管理サービスが適切に利用されません。
-
Cloud Volumes ONTAP でバージョン9.10.1以降が実行されている必要があります
-
Volume Encryption ( VE )ライセンスがインストールされている
-
Cloud Volumes ONTAP 9.12.1 GA以降、マルチテナント暗号化キー管理(MTEKM)ライセンスがインストールされています。
-
クラスタ管理者またはSVMの管理者である必要があります
-
アクティブなGoogle Cloud Platformサブスクリプション
-
クラウドKMSはデータSVMでのみ設定できます
設定
-
Google Cloud環境では、 "対称GCPキーリングとキーを作成します"。
-
Cloud Volumes ONTAP サービスアカウント用のカスタムロールを作成します。
gcloud iam roles create kmsCustomRole --project=<project_id> --title=<kms_custom_role_name> --description=<custom_role_description> --permissions=cloudkms.cryptoKeyVersions.get,cloudkms.cryptoKeyVersions.list,cloudkms.cryptoKeyVersions.useToDecrypt,cloudkms.cryptoKeyVersions.useToEncrypt,cloudkms.cryptoKeys.get,cloudkms.keyRings.get,cloudkms.locations.get,cloudkms.locations.list,resourcemanager.projects.get --stage=GA
-
Cloud KMSキーとCloud Volumes ONTAPサービスアカウントにカスタムロールを割り当てます。
gcloud kms keys add-iam-policy-binding key_name --keyring key_ring_name --location key_location --member serviceAccount:_service_account_Name_ --role projects/customer_project_id/roles/kmsCustomRole
-
サービスアカウントのJSONキーをダウンロード:
gcloud iam service-accounts keys create key-file --iam-account=sa-name@project-id.iam.gserviceaccount.com
-
優先SSHクライアントを使用してクラスタ管理LIFに接続します。
-
advanced 権限レベルに切り替えます。
set -privilege advanced
-
データSVM用のDNSを作成
dns create -domains c.<project>.internal -name-servers server_address -vserver SVM_name
-
CMEKエントリの作成:
security key-manager external gcp enable -vserver SVM_name -project-id project -key-ring-name key_ring_name -key-ring-location key_ring_location -key-name key_name
-
プロンプトが表示されたら、GCPアカウントのJSONキーを入力します。
-
有効なプロセスが成功したことを確認します。
security key-manager external gcp check -vserver svm_name
-
オプション:暗号化をテストするボリュームを作成します。
vol create volume_name -aggregate aggregate -vserver vserver_name -size 10G
トラブルシューティングを行う
トラブルシューティングが必要な場合は、上記の最後の2つの手順でREST APIのrawログをテールできます。
-
set d
-
systemshell -node node -command tail -f /mroot/etc/log/mlog/kmip2_client.log