Skip to main content
Todos os fornecedores de nuvem
  • Amazon Web Services
  • Google Cloud
  • Microsoft Azure
  • Todos os fornecedores de nuvem
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Gerencie chaves com o Cloud Key Management Service do Google

Colaboradores
PDFs

Você pode usar "Serviço de gerenciamento de chaves do Google Cloud Platform (Cloud KMS)" para proteger suas chaves de criptografia do ONTAP em um aplicativo implantado no Google Cloud Platform.

O gerenciamento de chaves com o Cloud KMS pode ser habilitado com a CLI da ONTAP ou a API REST do ONTAP.

Ao usar o Cloud KMS, esteja ciente de que, por padrão, o LIF de um SVM de dados é usado para se comunicar com o endpoint de gerenciamento de chaves na nuvem. Uma rede de gerenciamento de nós é usada para se comunicar com os serviços de autenticação do provedor de nuvem (oauth2.googleapis.com). Se a rede do cluster não estiver configurada corretamente, o cluster não utilizará adequadamente o serviço de gerenciamento de chaves.

Antes de começar

  • O Cloud Volumes ONTAP deve estar executando a versão 9.10.1 ou posterior

  • Licença de encriptação de volume (VE) instalada

  • Licença MTEKM (gerenciamento de chave de criptografia multi-tenente) instalada, começando com o Cloud Volumes ONTAP 9.12.1 GA.

  • Você precisa ser um administrador de cluster ou SVM

  • Uma assinatura ativa do Google Cloud Platform

Limitações

  • O Cloud KMS só pode ser configurado em um data SVM

Configuração

Google Cloud

  1. No ambiente do Google Cloud"Crie um anel e chave simétricos do GCP", .

  2. Crie uma função personalizada para sua conta de serviço do Cloud Volumes ONTAP.

    gcloud iam roles create kmsCustomRole
    --project=<project_id>
    --title=<kms_custom_role_name>
    --description=<custom_role_description>
    --permissions=cloudkms.cryptoKeyVersions.get,cloudkms.cryptoKeyVersions.list,cloudkms.cryptoKeyVersions.useToDecrypt,cloudkms.cryptoKeyVersions.useToEncrypt,cloudkms.cryptoKeys.get,cloudkms.keyRings.get,cloudkms.locations.get,cloudkms.locations.list,resourcemanager.projects.get
    --stage=GA

  3. Atribua a função personalizada à chave KMS da nuvem e à conta de serviço Cloud Volumes ONTAP:
    gcloud kms keys add-iam-policy-binding key_name --keyring key_ring_name --location key_location --member serviceAccount:_service_account_Name_ --role projects/customer_project_id/roles/kmsCustomRole

  4. Transferir a chave JSON da conta de serviço:
    gcloud iam service-accounts keys create key-file --iam-account=sa-name@project-id.iam.gserviceaccount.com

Cloud Volumes ONTAP

  1. Conete-se ao LIF de gerenciamento de cluster com seu cliente SSH preferido.

  2. Mude para o nível de privilégio avançado:
    set -privilege advanced

  3. Criar um DNS para o SVM de dados.
    dns create -domains c.<project>.internal -name-servers server_address -vserver SVM_name

  4. Criar entrada CMEK:
    security key-manager external gcp enable -vserver SVM_name -project-id project -key-ring-name key_ring_name -key-ring-location key_ring_location -key-name key_name

  5. Quando solicitado, insira a chave JSON da conta de serviço na sua conta do GCP.

  6. Confirme se o processo ativado foi bem-sucedido:
    security key-manager external gcp check -vserver svm_name

  7. OPCIONAL: Crie um volume para testar a criptografia vol create volume_name -aggregate aggregate -vserver vserver_name -size 10G

Solucionar problemas

Se você precisar solucionar problemas, você pode desativar os logs da API REST em bruto nas duas etapas finais acima:

  1. set d

  2. systemshell -node node -command tail -f /mroot/etc/log/mlog/kmip2_client.log