Gerencie chaves com o AWS Key Management Service
Sugerir alterações
PDFs
Você pode usar "Serviço de gerenciamento de chaves (KMS) da AWS" para proteger suas chaves de criptografia ONTAP em um aplicativo implantado pela AWS.
O gerenciamento de chaves com o AWS KMS pode ser habilitado com a CLI ou a API REST do ONTAP.
Ao usar o KMS, esteja ciente de que, por padrão, o LIF de um SVM de dados é usado para se comunicar com o endpoint de gerenciamento de chaves na nuvem. Uma rede de gerenciamento de nós é usada para se comunicar com os serviços de autenticação da AWS. Se a rede do cluster não estiver configurada corretamente, o cluster não utilizará adequadamente o serviço de gerenciamento de chaves.
-
O Cloud Volumes ONTAP deve estar executando a versão 9.12.0 ou posterior
-
Tem de ter instalado a licença de encriptação de volume (VE) e.
-
Você deve ter instalado a licença MTEKM (Multi-tenant Encryption Key Management) instalada.
-
Você precisa ser um administrador de cluster ou SVM
-
Você precisa ter uma assinatura da AWS ativa
|
Você só pode configurar chaves para um SVM de dados. |
Configuração
-
Você deve criar uma "concessão"chave para o AWS KMS que será usada pela função de gerenciamento de criptografia do IAM. A função IAM deve incluir uma política que permita as seguintes operações:
-
DescribeKey -
Encrypt -
DecryptPara criar uma subvenção, "Documentação do AWS"consulte .
-
-
"Adicione uma política à função IAM apropriada." A política deve suportar as
DescribeKeyoperações ,Encrypt, eDecrypt.
-
Mude para o seu ambiente Cloud Volumes ONTAP.
-
Mude para o nível de privilégio avançado:
set -privilege advanced -
Habilite o gerenciador de chaves da AWS:
security key-manager external aws enable -vserver data_svm_name -region AWS_region -key-id key_ID -encryption-context encryption_context -
Quando solicitado, insira a chave secreta.
-
Confirme se o AWS KMS foi configurado corretamente:
security key-manager external aws show -vserver svm_name