Skip to main content
모든 클라우드 공급자
  • Amazon Web Services에서 직접 지원합니다
  • Google 클라우드
  • Microsoft Azure를 참조하십시오
  • 모든 클라우드 공급자
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

Azure에서 고객이 관리하는 키를 사용하도록 Cloud Volumes ONTAP를 설정합니다

기여자

Microsoft 관리 키가 있는 Azure 스토리지 서비스 암호화를 사용하여 Azure의 Cloud Volumes ONTAP에서 데이터를 자동으로 암호화합니다. 그러나 이 페이지의 단계를 따르면 사용자 고유의 암호화 키를 사용할 수 있습니다.

데이터 암호화 개요

Cloud Volumes ONTAP 데이터는 를 사용하여 Azure에서 자동으로 암호화됩니다. "Azure 스토리지 서비스 암호화" 기본 구현에는 Microsoft 관리 키가 사용됩니다. 설정이 필요하지 않습니다.

Cloud Volumes ONTAP에서 고객 관리 키를 사용하려면 다음 단계를 완료해야 합니다.

  1. Azure에서 키 볼트를 작성한 다음 해당 볼트에 키를 생성합니다.

  2. BlueXP에서 API를 사용하여 키를 사용하는 Cloud Volumes ONTAP 작업 환경을 만듭니다.

키 회전

새 버전의 키를 만들면 Cloud Volumes ONTAP에서 자동으로 최신 키 버전을 사용합니다.

데이터 암호화 방법

BlueXP는 디스크 암호화 세트를 사용하여 페이지 Blob이 아닌 관리형 디스크에서 암호화 키를 관리할 수 있습니다. 새 데이터 디스크도 동일한 디스크 암호화 세트를 사용합니다. 하위 버전은 고객 관리 키 대신 Microsoft 관리 키를 사용합니다.

고객이 관리하는 키를 사용하도록 구성된 Cloud Volumes ONTAP 작업 환경을 생성한 후 Cloud Volumes ONTAP 데이터는 다음과 같이 암호화됩니다.

Cloud Volumes ONTAP 구성 키 암호화에 사용되는 시스템 디스크입니다 키 암호화에 사용되는 데이터 디스크입니다

단일 노드

  • 부팅

  • 코어

  • NVRAM

  • 루트

  • 데이터

Azure HA 단일 가용 영역이 있고 페이지 Blob이 있습니다

  • 부팅

  • 코어

  • NVRAM

없음

공유 관리 디스크가 있는 Azure HA 단일 가용 영역

  • 부팅

  • 코어

  • NVRAM

  • 루트

  • 데이터

Azure HA 공유 관리 디스크가 있는 여러 가용 영역

  • 부팅

  • 코어

  • NVRAM

  • 루트

  • 데이터

Cloud Volumes ONTAP의 모든 Azure 저장소 계정은 고객이 관리하는 키를 사용하여 암호화됩니다. 스토리지 계정을 만드는 동안 암호화하려면 Cloud Volumes ONTAP 생성 요청에서 리소스의 ID를 생성하고 제공해야 합니다. 이는 모든 유형의 배포에 적용됩니다. 제공하지 않으면 저장소 계정은 여전히 암호화되지만 BlueXP는 먼저 Microsoft 관리 키 암호화를 사용하여 저장소 계정을 만든 다음 고객이 관리하는 키를 사용하도록 저장소 계정을 업데이트합니다.

사용자가 할당한 관리 ID를 만듭니다

사용자가 할당한 관리 ID라는 리소스를 만들 수 있습니다. 이렇게 하면 Cloud Volumes ONTAP 작업 환경을 생성할 때 스토리지 계정을 암호화할 수 있습니다. 키 볼트를 작성하고 키를 생성하기 전에 이 리소스를 생성하는 것이 좋습니다.

리소스의 ID는 다음과 같습니다. userassignedidentity.

단계
  1. Azure에서 Azure 서비스로 이동하여 * Managed Identities * 를 선택합니다.

  2. Create * 를 클릭합니다.

  3. 다음 세부 정보를 제공합니다.

    • * 구독 *: 구독을 선택합니다. Connector 가입과 동일한 구독을 선택하는 것이 좋습니다.

    • * 리소스 그룹 *: 기존 리소스 그룹을 사용하거나 새 리소스 그룹을 생성합니다.

    • * Region * (영역 *): 선택적으로 Connector (커넥터)와 동일한 영역을 선택합니다.

    • * 이름 *: 리소스 이름을 입력합니다.

  4. 필요에 따라 태그를 추가합니다.

  5. Create * 를 클릭합니다.

키 볼트를 작성하고 키를 생성합니다

키 볼트는 Cloud Volumes ONTAP 시스템을 생성하려는 Azure 가입 및 지역에 있어야 합니다.

있다면 사용자가 할당한 관리 ID를 만들었습니다키 볼트를 작성하는 동안 키 볼트에 대한 액세스 정책도 작성해야 합니다.

단계
  1. "Azure 구독에서 키 볼트를 작성합니다".

    키 볼트에 대한 다음 요구 사항을 확인합니다.

    • 키 볼트는 Cloud Volumes ONTAP 시스템과 동일한 영역에 있어야 합니다.

    • 다음 옵션을 활성화해야 합니다.

      • * soft-delete * (이 옵션은 기본적으로 활성화되어 있지만 반드시 _not_사용하지 않아야 함)

      • * 퍼지 보호 *

      • * 볼륨 암호화를 위한 Azure 디스크 암호화 * (단일 노드 시스템의 경우, 여러 영역의 HA 쌍 및 HA 단일 AZ 배포)

        참고 Azure 고객 관리 암호화 키는 키 저장소에 대해 Azure 디스크 암호화를 사용하도록 설정한 경우에 따라 사용됩니다.
    • 사용자 지정 관리 ID를 만든 경우 다음 옵션을 활성화해야 합니다.

      • * 볼트 액세스 정책 *

  2. 볼트 액세스 정책을 선택한 경우, 작성 을 클릭하여 키 볼트에 대한 액세스 정책을 작성합니다. 그렇지 않은 경우 3단계로 건너뜁니다.

    1. 다음 권한을 선택합니다.

      • 가져오기

      • 목록

      • 암호를 해독합니다

      • 암호화

      • 줄 바꿈 해제 키

      • 랩 키

      • 확인합니다

      • 서명

    2. 사용자가 할당한 관리 ID(리소스)를 보안 주체에 선택합니다.

    3. 액세스 정책을 검토하고 생성합니다.

  3. "키 볼트에 키를 생성합니다".

    키에 대한 다음 요구 사항을 확인합니다.

    • 키 유형은 * rsa * 여야 합니다.

    • 권장되는 RSA 키 크기는 * 2048 * 이지만 다른 크기가 지원됩니다.

암호화 키를 사용하는 작업 환경을 만듭니다

키 볼트를 작성하고 암호화 키를 생성한 후 키를 사용하도록 구성된 새 Cloud Volumes ONTAP 시스템을 작성할 수 있습니다. 이러한 단계는 BlueXP API를 사용하여 지원됩니다.

필수 권한

단일 노드 Cloud Volumes ONTAP 시스템에서 고객 관리 키를 사용하려면 BlueXP 커넥터에 다음과 같은 권한이 있는지 확인하십시오.

"Microsoft.Compute/diskEncryptionSets/read",
"Microsoft.Compute/diskEncryptionSets/write",
"Microsoft.Compute/diskEncryptionSets/delete"
"Microsoft.KeyVault/vaults/deploy/action",
"Microsoft.KeyVault/vaults/read",
"Microsoft.KeyVault/vaults/accessPolicies/write",
"Microsoft.ManagedIdentity/userAssignedIdentities/assign/action"
단계
  1. 다음 BlueXP API 호출을 사용하여 Azure 구독의 키 볼트 목록을 가져옵니다.

    HA 쌍의 경우: 'get/Azure/ha/metadata/vaults'

    단일 노드의 경우: 'get/Azure/VSA/metadata/vaults'

    이름 * 과 * resourceGroup * 을 기록해 둡니다. 다음 단계에서 이러한 값을 지정해야 합니다.

  2. 다음 BlueXP API 호출을 사용하여 볼트 내의 키 목록을 가져옵니다.

    HA 쌍의 경우: 'get/Azure/ha/metadata/keys-vault'

    단일 노드의 경우: 'get/Azure/VSA/metadata/keys-vault

    keyName * 을 기록해 두십시오. 다음 단계에서 해당 값을 볼트 이름과 함께 지정해야 합니다.

  3. 다음 BlueXP API 호출을 사용하여 Cloud Volumes ONTAP 시스템을 생성합니다.

    1. HA 쌍:

      'POST/Azure/ha/Working-Environments(POST/Azure/ha/Working-Environments

      요청 본문에는 다음 필드가 포함되어야 합니다.

      "azureEncryptionParameters": {
                    "key": "keyName",
                    "vaultName": "vaultName"
      }
      참고 을 포함합니다 "userAssignedIdentity": " userAssignedIdentityId" 스토리지 계정 암호화에 사용할 이 리소스를 생성한 경우 필드입니다.
    2. 단일 노드 시스템의 경우:

      'POST/Azure/VSA/Working-Environments(POST/Azure/VSA/작업 환경)

      요청 본문에는 다음 필드가 포함되어야 합니다.

      "azureEncryptionParameters": {
                    "key": "keyName",
                    "vaultName": "vaultName"
      }
      참고 을 포함합니다 "userAssignedIdentity": " userAssignedIdentityId" 스토리지 계정 암호화에 사용할 이 리소스를 생성한 경우 필드입니다.
결과

데이터 암호화에 고객 관리 키를 사용하도록 구성된 새 Cloud Volumes ONTAP 시스템이 있습니다.