본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

ONTAP에서 클라우드 공급자를 통해 키를 관리합니다

01/30/2025 기여자

ONTAP 9.10.1부터 클라우드 호스팅 응용 프로그램에서 및 를 "Google Cloud Platform의 키 관리 서비스(Cloud KMS)"사용하여 ONTAP 암호화 키를 보호할 수 "Azure 키 저장소(AKV)"있습니다. ONTAP 9.12.0부터, 로 NVE 키를 보호할 수도 "AWS의 KMS"있습니다.

AWS KMS, AKV 및 Cloud KMS를 사용하여 보호할 수 있습니다 "NVE(NetApp Volume Encryption) 키" 데이터 SVM에만 해당.

이 작업에 대해

클라우드 공급자를 사용한 키 관리는 CLI 또는 ONTAP REST API를 사용하여 설정할 수 있습니다.

클라우드 공급자를 사용하여 키를 보호할 때는 기본적으로 데이터 SVM LIF가 클라우드 키 관리 엔드포인트와 통신하는 데 사용됩니다. 노드 관리 네트워크는 클라우드 공급자의 인증 서비스(Azure의 경우 login.microsoftonline.com, Cloud KMS의 경우 oauth2.googleapis.com)와 통신하는 데 사용됩니다. 클러스터 네트워크가 올바르게 구성되지 않은 경우 클러스터에서 키 관리 서비스를 제대로 사용할 수 없습니다.

클라우드 공급자 키 관리 서비스를 사용할 때는 다음과 같은 제한 사항을 숙지해야 합니다.

NSE(NetApp 스토리지 암호화) 및 NAE(NetApp 애그리게이트 암호화)에 클라우드 공급자 키 관리를 사용할 수 없습니다. "외부 KMIP" 대신 사용할 수 있습니다.
MetroCluster 구성에서는 클라우드 공급자 키 관리를 사용할 수 없습니다.
클라우드 공급자 키 관리는 데이터 SVM에서만 구성할 수 있습니다.

시작하기 전에

해당 클라우드 공급자에 KMS를 구성해야 합니다.
ONTAP 클러스터 노드는 NVE를 지원해야 합니다.
"VE(Volume Encryption) 및 MTEKM(Multi-tenant Encryption Key Management) 라이센스를 설치해야 합니다".. 이 라이선스는 에 "ONTAP 1 을 참조하십시오"포함되어 있습니다.
클러스터 또는 SVM 관리자여야 합니다.
데이터 SVM에는 암호화된 볼륨이 포함되어 있지 않아야 하며 키 관리자를 사용해야 합니다. 데이터 SVM에 암호화된 볼륨이 포함된 경우 KMS를 구성하기 전에 해당 볼륨을 마이그레이션해야 합니다.

외부 키 관리를 활성화합니다

외부 키 관리를 사용하는 방법은 사용하는 특정 키 관리자에 따라 다릅니다. 해당 키 관리자 및 환경의 탭을 선택합니다.

시작하기 전에

암호화를 관리하는 IAM 역할이 사용할 AWS KMS 키에 대한 권한을 만들어야 합니다. IAM 역할에는 다음 작업을 허용하는 정책이 포함되어야 합니다.
- DescribeKey
- Encrypt
- Decrypt
  를 누릅니다
  자세한 내용은 의 AWS 설명서를 참조하십시오 "보조금".

ONTAP SVM에서 AWS KMV를 활성화합니다

시작하기 전에 AWS KMS에서 액세스 키 ID와 비밀 키를 모두 받으십시오.
권한 수준을 고급으로 설정합니다.
set -priv advanced
AWS KMS 활성화:
security key-manager external aws enable -vserver svm_name -region AWS_region -key-id key_ID -encryption-context encryption_context
메시지가 표시되면 비밀 키를 입력합니다.
AWS KMS가 올바르게 구성되었는지 확인합니다.
security key-manager external aws show -vserver svm_name

ONTAP SVM에서 Azure Key Vault를 활성화합니다

시작하기 전에 Azure 계정에서 클라이언트 암호 또는 인증서로 적절한 인증 자격 증명을 얻어야 합니다. 또한 클러스터의 모든 노드가 정상 상태인지 확인해야 합니다. 'cluster show' 명령을 사용하여 확인할 수 있습니다.
권한 수준을 Advanced'et-priv advanced로 설정합니다
SVM의 보안 키 관리자 외부 Azure ENABLE - CLIENT-id_client_id_-tenant-id_tenant_id_-name-key-id_id_-authentication-method {certificate|client-secret} 에서 AKV를 활성화합니다. 메시지가 나타나면 Azure 계정에서 클라이언트 인증서 또는 클라이언트 암호를 입력합니다.
AKV가 올바르게 활성화되었는지 확인합니다.
security key-manager external azure show vserver svm_name
서비스 상태가 양호하지 않은 경우 데이터 SVM LIF를 통해 AKV 키 관리 서비스에 대한 연결을 설정합니다.

ONTAP SVM에서 클라우드 KMS 지원

시작하기 전에 JSON 형식으로 Google Cloud KMS 계정 키 파일의 개인 키를 받으십시오. GCP 계정에서 찾을 수 있습니다.
또한 클러스터의 모든 노드가 정상 상태인지 확인해야 합니다. 명령을 사용하여 확인할 수 있습니다 cluster show.
권한 수준을 고급으로 설정:
set -priv advanced
SVM에서 Cloud KMS 사용
security key-manager external gcp enable -vserver svm_name -project-id project_id-key-ring-name key_ring_name -key-ring-location key_ring_location -key-name key_name
메시지가 표시되면 서비스 계정 개인 키로 JSON 파일의 내용을 입력합니다
Cloud KMS가 올바른 매개 변수로 구성되었는지 확인합니다.
security key-manager external gcp show vserver svm_name
의 상태입니다 kms_wrapped_key_status 가 됩니다 “UNKNOWN” 암호화된 볼륨이 생성되지 않은 경우
서비스 상태가 양호하지 않은 경우 데이터 SVM LIF를 통해 GCP 키 관리 서비스에 대한 연결을 설정합니다.

하나 이상의 암호화된 볼륨이 데이터 SVM용으로 이미 구성되어 있고 admin SVM 온보드 키 관리자가 해당 NVE 키를 관리하는 경우 이러한 키를 외부 키 관리 서비스로 마이그레이션해야 합니다. CLI에서 이 작업을 수행하려면 다음 명령을 실행합니다.
`security key-manager key migrate -from-Vserver admin_SVM -to-Vserver data_SVM`데이터 SVM의 모든 NVE 키가 성공적으로 마이그레이션될 때까지 테넌트의 데이터 SVM에 대해 암호화된 새 볼륨을 생성할 수 없습니다.

ONTAP에서 클라우드 공급자를 통해 키를 관리합니다

Creating your file...

외부 키 관리를 활성화합니다