본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

AWS KMS 설정

Cloud Volumes ONTAP에서 Amazon 암호화를 사용하려면 AWS KMS(키 관리 서비스)를 설정해야 합니다.

단계
  1. 활성 CMK(Customer Master Key)가 있는지 확인합니다.

    CMK는 AWS로 관리되는 CMK 또는 고객이 관리하는 CMK가 될 수 있습니다. Cloud Manager 및 Cloud Volumes ONTAP와 동일한 AWS 계정 또는 다른 AWS 계정에 있을 수 있습니다.

  2. Cloud Manager에 권한을 제공하는 IAM 역할을 _KEY USER_로 추가하여 각 CMK에 대한 키 정책을 수정합니다.

    IAM 역할을 주요 사용자로 추가하면 Cloud Manager에서 Cloud Volumes ONTAP와 함께 CMK를 사용할 수 있는 권한이 부여됩니다.

  3. CMK가 다른 AWS 계정에 있는 경우 다음 단계를 수행하십시오.

    1. CMK가 상주하는 계정에서 KMS 콘솔로 이동합니다.

    2. 키를 선택합니다.

    3. General configuration * 창에서 키의 ARN을 복사합니다.

      Cloud Volumes ONTAP 시스템을 생성할 때 클라우드 관리자에게 ARN을 제공해야 합니다.

    4. 다른 AWS 계정 * 창에서 Cloud Manager에 사용 권한을 제공하는 AWS 계정을 추가합니다.

      대부분의 경우 Cloud Manager가 상주하는 계정입니다. Cloud Manager가 AWS에 설치되어 있지 않으면, Cloud Manager에 AWS 액세스 키를 제공한 계정이 될 수 있습니다.

      이 스크린샷은 AWS KMS 콘솔의 "다른 AWS 계정 추가" 버튼을 보여줍니다.

      이 스크린샷은 AWS KMS 콘솔의 "기타 AWS 계정" 대화 상자를 보여 줍니다.

    5. 이제 Cloud Manager에 사용 권한을 제공하는 AWS 계정으로 전환하고 IAM 콘솔을 엽니다.

    6. 아래에 나열된 권한을 포함하는 IAM 정책을 생성합니다.

    7. Cloud Manager에 권한을 제공하는 IAM 역할 또는 IAM 사용자에 정책을 연결합니다.

      다음 정책은 Cloud Manager가 외부 AWS 계정에서 CMK를 사용하는 데 필요한 권한을 제공합니다. "리소스" 섹션에서 지역 및 계정 ID를 수정해야 합니다.

    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Sid": "AllowUseOfTheKey",
                "Effect": "Allow",
                "Action": [
                    "kms:Encrypt",
                    "kms:Decrypt",
                    "kms:ReEncrypt*",
                    "kms:GenerateDataKey*",
                    "kms:DescribeKey"
                ],
                "Resource": [
                    "arn:aws:kms:us-east-1:externalaccountid:key/externalkeyid"
                ]
            },
            {
                "Sid": "AllowAttachmentOfPersistentResources",
                "Effect": "Allow",
                "Action": [
                    "kms:CreateGrant",
                    "kms:ListGrants",
                    "kms:RevokeGrant"
                ],
                "Resource": [
                    "arn:aws:kms:us-east-1:externalaccountid:key/externalaccountid"
                ],
                "Condition": {
                    "Bool": {
                        "kms:GrantIsForAWSResource": true
                    }
                }
            }
        ]
    }

    +
    이 프로세스에 대한 자세한 내용은 을 참조하십시오 "AWS 설명서: 다른 계정의 사용자가 KMS 키를 사용할 수 있도록 허용합니다".

  4. 고객이 관리하는 CMK를 사용하는 경우 Cloud Volumes ONTAP IAM 역할을 _KEY USER_로 추가하여 CMK에 대한 주요 정책을 수정합니다.

    이 단계는 Cloud Volumes ONTAP에서 데이터 계층화를 활성화한 경우 S3 버킷에 저장된 데이터를 암호화하려는 경우에 필요합니다.

    작업 환경을 생성할 때 IAM 역할이 생성되므로 이 단계는 _ After _ Cloud Volumes ONTAP를 구축해야 합니다. (물론 기존 Cloud Volumes ONTAP IAM 역할을 사용할 수 있는 옵션이 있으므로 이 단계를 이전에 수행할 수 있습니다.)