Skip to main content
모든 클라우드 제공업체
  • 아마존 웹 서비스
  • 구글 클라우드
  • 마이크로소프트 애저
  • 모든 클라우드 제공업체
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

Azure에서 고객 관리 키를 사용하도록 Cloud Volumes ONTAP 설정

기여자 netapp-manini
PDF

Azure의 Cloud Volumes ONTAP 에서는 Microsoft에서 관리하는 키를 사용하여 Azure Storage Service Encryption을 사용하여 데이터가 자동으로 암호화됩니다. 하지만 이 페이지의 단계에 따라 자신의 암호화 키를 대신 사용할 수 있습니다.

데이터 암호화 개요

Cloud Volumes ONTAP 데이터는 Azure에서 자동으로 암호화됩니다. "Azure Storage 서비스 암호화" . 기본 구현에서는 Microsoft에서 관리하는 키를 사용합니다. 설정이 필요하지 않습니다.

Cloud Volumes ONTAP 에서 고객 관리 키를 사용하려면 다음 단계를 완료해야 합니다.

  1. Azure에서 키 자격 증명 모음을 만든 다음 해당 자격 증명 모음에서 키를 생성합니다.

  2. NetApp 콘솔에서 API를 사용하여 키를 사용하는 Cloud Volumes ONTAP 시스템을 만듭니다.

데이터 암호화 방법

콘솔은 디스크 암호화 세트를 사용하는데, 이를 통해 페이지 블롭이 아닌 관리형 디스크에서 암호화 키를 관리할 수 있습니다. 새로운 데이터 디스크도 동일한 디스크 암호화 세트를 사용합니다. 하위 버전에서는 고객 관리 키 대신 Microsoft 관리 키를 사용합니다.

고객 관리 키를 사용하도록 구성된 Cloud Volumes ONTAP 시스템을 생성한 후 Cloud Volumes ONTAP 데이터는 다음과 같이 암호화됩니다.

Cloud Volumes ONTAP 구성 키 암호화에 사용되는 시스템 디스크 키 암호화에 사용되는 데이터 디스크

단일 노드

  • 부팅

  • 핵심

  • NVRAM

  • 뿌리

  • 데이터

페이지 Blob이 있는 Azure HA 단일 가용성 영역

  • 부팅

  • 핵심

  • NVRAM

None

공유 관리 디스크가 있는 Azure HA 단일 가용성 영역

  • 부팅

  • 핵심

  • NVRAM

  • 뿌리

  • 데이터

공유 관리 디스크가 있는 Azure HA 다중 가용성 영역

  • 부팅

  • 핵심

  • NVRAM

  • 뿌리

  • 데이터

Cloud Volumes ONTAP 의 모든 Azure 스토리지 계정은 고객 관리 키를 사용하여 암호화됩니다. 스토리지 계정을 생성하는 동안 암호화하려면 Cloud Volumes ONTAP 생성 요청에서 리소스 ID를 생성하고 제공해야 합니다. 이는 모든 유형의 배포에 적용됩니다. 해당 정보를 제공하지 않으면 저장소 계정은 여전히 ​​암호화되지만 콘솔은 먼저 Microsoft에서 관리하는 키 암호화를 사용하여 저장소 계정을 만든 다음, 저장소 계정을 업데이트하여 고객이 관리하는 키를 사용합니다.

Cloud Volumes ONTAP 의 키 회전

암호화 키를 구성할 때 Azure Portal을 사용하여 자동 키 순환을 설정하고 활성화해야 합니다. 암호화 키의 새로운 버전을 만들고 활성화하면 Cloud Volumes ONTAP 암호화에 최신 키 버전을 자동으로 감지하고 사용할 수 있으므로 수동 개입 없이도 데이터가 안전하게 유지됩니다.

키 구성 및 키 순환 설정에 대한 자세한 내용은 다음 Microsoft Azure 설명서 항목을 참조하세요.

참고 키를 구성한 후 다음을 선택했는지 확인하십시오. "자동 회전 활성화" 이를 통해 Cloud Volumes ONTAP 이전 키가 만료되면 새 키를 사용할 수 있습니다. Azure Portal에서 이 옵션을 활성화하지 않으면 Cloud Volumes ONTAP 새 키를 자동으로 감지하지 못하여 스토리지 프로비저닝에 문제가 발생할 수 있습니다.

사용자가 할당한 관리 ID 만들기

사용자 지정 관리 ID라는 리소스를 만들 수 있는 옵션이 있습니다. 이렇게 하면 Cloud Volumes ONTAP 시스템을 생성할 때 스토리지 계정을 암호화할 수 있습니다. 키 보관소를 만들고 키를 생성하기 전에 이 리소스를 만드는 것이 좋습니다.

리소스의 ID는 다음과 같습니다. userassignedidentity .

단계

  1. Azure에서 Azure 서비스로 이동하여 *관리 ID*를 선택합니다.

  2. *만들기*를 클릭하세요.

  3. 다음 세부 정보를 제공하세요.

    • 구독: 구독을 선택하세요. 콘솔 에이전트 구독과 동일한 구독을 선택하는 것이 좋습니다.

    • 리소스 그룹: 기존 리소스 그룹을 사용하거나 새 리소스 그룹을 만듭니다.

    • 지역: 선택적으로 콘솔 에이전트와 동일한 지역을 선택합니다.

    • 이름: 리소스의 이름을 입력하세요.

  4. 선택적으로 태그를 추가합니다.

  5. *만들기*를 클릭하세요.

키 볼트를 생성하고 키를 생성합니다.

키 보관소는 Cloud Volumes ONTAP 시스템을 만들려는 동일한 Azure 구독 및 지역에 있어야 합니다.

만약 당신이라면사용자가 할당한 관리 ID를 생성했습니다. 키 보관소를 생성하는 동안 키 보관소에 대한 액세스 정책도 생성해야 합니다.

단계

  1. "Azure 구독에서 키 자격 증명 모음 만들기" .

    키 보관소에 대한 다음 요구 사항을 참고하세요.

    • 키 볼트는 Cloud Volumes ONTAP 시스템과 동일한 지역에 있어야 합니다.

    • 다음 옵션을 활성화해야 합니다.

      • 소프트 삭제 (이 옵션은 기본적으로 활성화되어 있지만 비활성화해서는 안 됩니다)

      • 퍼지 보호

      • 볼륨 암호화를 위한 Azure Disk Encryption(단일 노드 시스템, 여러 영역의 HA 쌍 및 HA 단일 AZ 배포용)

        참고 Azure 고객 관리 암호화 키를 사용하려면 키 자격 증명 모음에 Azure Disk 암호화가 활성화되어 있어야 합니다.

    • 사용자가 할당한 관리 ID를 생성한 경우 다음 옵션을 활성화해야 합니다.

      • 금고 접근 정책

  2. Vault 액세스 정책을 선택한 경우 만들기를 클릭하여 키 볼트에 대한 액세스 정책을 만듭니다. 그렇지 않은 경우 3단계로 넘어가세요.

    1. 다음 권한을 선택하세요.

      • 얻다

      • 목록

      • 해독하다

      • 암호화하다

      • 열쇠를 풀다

      • 랩 키

      • 확인하다

      • 징후

    2. 사용자가 할당한 관리 ID(리소스)를 주체로 선택합니다.

    3. 액세스 정책을 검토하고 생성합니다.

  3. "키 보관소에서 키 생성" .

    키에 대한 다음 요구 사항을 참고하세요.

    • 키 유형은 *RSA*여야 합니다.

    • 권장되는 RSA 키 크기는 *2048*이지만 다른 크기도 지원됩니다.

암호화 키를 사용하는 시스템을 만듭니다.

키 볼트를 만들고 암호화 키를 생성한 후에는 해당 키를 사용하도록 구성된 새 Cloud Volumes ONTAP 시스템을 만들 수 있습니다. 이러한 단계는 API를 사용하여 지원됩니다.

필요한 권한

단일 노드 Cloud Volumes ONTAP 시스템에서 고객 관리 키를 사용하려면 콘솔 에이전트에 다음 권한이 있는지 확인하세요.

"Microsoft.Compute/diskEncryptionSets/read",
"Microsoft.Compute/diskEncryptionSets/write",
"Microsoft.Compute/diskEncryptionSets/delete"
"Microsoft.KeyVault/vaults/deploy/action",
"Microsoft.KeyVault/vaults/read",
"Microsoft.KeyVault/vaults/accessPolicies/write",
"Microsoft.ManagedIdentity/userAssignedIdentities/assign/action"

"최신 권한 목록 보기"

단계

  1. 다음 API 호출을 사용하여 Azure 구독의 주요 자격 증명 모음 목록을 가져옵니다.

    HA 쌍의 경우: GET /azure/ha/metadata/vaults

    단일 노드의 경우: GET /azure/vsa/metadata/vaults

    *이름*과 *리소스그룹*을 기록해 두세요. 다음 단계에서 해당 값을 지정해야 합니다.

    "이 API 호출에 대해 자세히 알아보세요" .

  2. 다음 API 호출을 사용하여 볼트 내의 키 목록을 가져옵니다.

    HA 쌍의 경우: GET /azure/ha/metadata/keys-vault

    단일 노드의 경우: GET /azure/vsa/metadata/keys-vault

    *keyName*을 기록해 두세요. 다음 단계에서는 해당 값(볼트 이름과 함께)을 지정해야 합니다.

    "이 API 호출에 대해 자세히 알아보세요" .

  3. 다음 API 호출을 사용하여 Cloud Volumes ONTAP 시스템을 만듭니다.

    1. HA 쌍의 경우:

      POST /azure/ha/working-environments

      요청 본문에는 다음 필드가 포함되어야 합니다.

      "azureEncryptionParameters": {
              "key": "keyName",
              "vaultName": "vaultName"
}
      참고 포함하다 "userAssignedIdentity": " userAssignedIdentityId" 저장소 계정 암호화에 사용할 리소스를 만든 경우 필드입니다.

      "이 API 호출에 대해 자세히 알아보세요" .

    2. 단일 노드 시스템의 경우:

      POST /azure/vsa/working-environments

      요청 본문에는 다음 필드가 포함되어야 합니다.

      "azureEncryptionParameters": {
              "key": "keyName",
              "vaultName": "vaultName"
}
      참고 포함하다 "userAssignedIdentity": " userAssignedIdentityId" 저장소 계정 암호화에 사용할 리소스를 만든 경우 필드입니다.

    "이 API 호출에 대해 자세히 알아보세요" .

결과

데이터 암호화를 위해 고객 관리 키를 사용하도록 구성된 새로운 Cloud Volumes ONTAP 시스템이 있습니다.