AWS KMS 설정
변경 제안
PDF
Cloud Volumes ONTAP에서 Amazon 암호화를 사용하려면 AWS KMS(키 관리 서비스)를 설정해야 합니다.
-
활성 CMK(Customer Master Key)가 있는지 확인합니다.
CMK는 AWS로 관리되는 CMK 또는 고객이 관리하는 CMK가 될 수 있습니다. BlueXP 및 Cloud Volumes ONTAP와 동일한 AWS 계정 또는 다른 AWS 계정에 있을 수 있습니다.
-
BlueXP에 대한 권한을 제공하는 IAM 역할을 _KEY USER_로 추가하여 각 CMK에 대한 키 정책을 수정합니다.
IAM 역할을 주요 사용자로 추가하면 BlueXP에서 Cloud Volumes ONTAP와 함께 CMK를 사용할 수 있는 권한이 부여됩니다.
-
CMK가 다른 AWS 계정에 있는 경우 다음 단계를 수행하십시오.
-
CMK가 상주하는 계정에서 KMS 콘솔로 이동합니다.
-
키를 선택합니다.
-
General configuration * 창에서 키의 ARN을 복사합니다.
Cloud Volumes ONTAP 시스템을 생성할 때 ARN을 BlueXP에 제공해야 합니다.
-
다른 AWS 계정 * 창에서 BlueXP에 사용 권한을 제공하는 AWS 계정을 추가합니다.
대부분의 경우 이 계정은 BlueXP가 있는 계정입니다. BlueXP가 AWS에 설치되어 있지 않은 경우 BlueXP에 AWS 액세스 키를 제공한 계정이 됩니다.
-
이제 BlueXP에 사용 권한을 제공하고 IAM 콘솔을 여는 AWS 계정으로 전환합니다.
-
아래에 나열된 권한을 포함하는 IAM 정책을 생성합니다.
-
BlueXP에 대한 권한을 제공하는 IAM 역할 또는 IAM 사용자에게 정책을 첨부합니다.
다음 정책은 BlueXP가 외부 AWS 계정에서 CMK를 사용하는 데 필요한 권한을 제공합니다. "리소스" 섹션에서 지역 및 계정 ID를 수정해야 합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowUseOfTheKey", "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:us-east-1:externalaccountid:key/externalkeyid" ] }, { "Sid": "AllowAttachmentOfPersistentResources", "Effect": "Allow", "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": [ "arn:aws:kms:us-east-1:externalaccountid:key/externalaccountid" ], "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ] }+
이 프로세스에 대한 자세한 내용은 을 참조하십시오 "AWS 설명서: 다른 계정의 사용자가 KMS 키를 사용할 수 있도록 허용합니다". -
-
고객이 관리하는 CMK를 사용하는 경우 Cloud Volumes ONTAP IAM 역할을 _KEY USER_로 추가하여 CMK에 대한 주요 정책을 수정합니다.
이 단계는 Cloud Volumes ONTAP에서 데이터 계층화를 활성화한 경우 S3 버킷에 저장된 데이터를 암호화하려는 경우에 필요합니다.
작업 환경을 생성할 때 IAM 역할이 생성되므로 이 단계는 _ After _ Cloud Volumes ONTAP를 구축해야 합니다. (물론 기존 Cloud Volumes ONTAP IAM 역할을 사용할 수 있는 옵션이 있으므로 이 단계를 이전에 수행할 수 있습니다.)