Skip to main content
すべてのクラウドプロバイダ
  • Amazon Web Services の
  • Google Cloud
  • Microsoft Azure
  • すべてのクラウドプロバイダ
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

GoogleのCloud Key Management Serviceを使用してキーを管理します

共同作成者

を使用できます "Google Cloud Platform のキー管理サービス( Cloud KMS )" Google Cloud Platform導入アプリケーションでONTAP 暗号化キーを保護します。

Cloud KMSを使用したキー管理は、CLIまたはONTAP REST APIを使用して有効にすることができます。

Cloud KMSを使用する場合は、デフォルトではデータSVMのLIFがクラウドキー管理エンドポイントとの通信に使用されることに注意してください。ノード管理ネットワークは、クラウドプロバイダの認証サービス(oauth2.googleapis.com)との通信に使用されます。クラスタネットワークが正しく設定されていないと、クラスタでキー管理サービスが適切に利用されません。

作業を開始する前に

  • Cloud Volumes ONTAP でバージョン9.10.1以降が実行されている必要があります

  • Volume Encryption ( VE )ライセンスがインストールされている

  • Cloud Volumes ONTAP 9.12.1 GA以降、マルチテナント暗号化キー管理(MTEKM)ライセンスがインストールされています。

  • クラスタ管理者またはSVMの管理者である必要があります

  • アクティブなGoogle Cloud Platformサブスクリプション

制限

  • クラウドKMSはデータSVMでのみ設定できます

設定

Google Cloud

  1. Google Cloud環境では、 "対称GCPキーリングとキーを作成します"

  2. Cloud Volumes ONTAP サービスアカウント用のカスタムロールを作成します。

    gcloud iam roles create kmsCustomRole
    --project=<project_id>
    --title=<kms_custom_role_name>
    --description=<custom_role_description>
    --permissions=cloudkms.cryptoKeyVersions.get,cloudkms.cryptoKeyVersions.list,cloudkms.cryptoKeyVersions.useToDecrypt,cloudkms.cryptoKeyVersions.useToEncrypt,cloudkms.cryptoKeys.get,cloudkms.keyRings.get,cloudkms.locations.get,cloudkms.locations.list,resourcemanager.projects.get
    --stage=GA

  3. Cloud KMSキーとCloud Volumes ONTAPサービスアカウントにカスタムロールを割り当てます。
    gcloud kms keys add-iam-policy-binding key_name --keyring key_ring_name --location key_location --member serviceAccount:_service_account_Name_ --role projects/customer_project_id/roles/kmsCustomRole

  4. サービスアカウントのJSONキーをダウンロード:
    gcloud iam service-accounts keys create key-file --iam-account=sa-name@project-id.iam.gserviceaccount.com

Cloud Volumes ONTAP

  1. 優先SSHクライアントを使用してクラスタ管理LIFに接続します。

  2. advanced 権限レベルに切り替えます。
    set -privilege advanced

  3. データSVM用のDNSを作成
    dns create -domains c.<project>.internal -name-servers server_address -vserver SVM_name

  4. CMEKエントリの作成:
    security key-manager external gcp enable -vserver SVM_name -project-id project -key-ring-name key_ring_name -key-ring-location key_ring_location -key-name key_name

  5. プロンプトが表示されたら、GCPアカウントのJSONキーを入力します。

  6. 有効なプロセスが成功したことを確認します。
    security key-manager external gcp check -vserver svm_name

  7. オプション:暗号化をテストするボリュームを作成します。 vol create volume_name -aggregate aggregate -vserver vserver_name -size 10G

トラブルシューティングを行う

トラブルシューティングが必要な場合は、上記の最後の2つの手順でREST APIのrawログをテールできます。

  1. set d

  2. systemshell -node node -command tail -f /mroot/etc/log/mlog/kmip2_client.log