Skip to main content
Cloud Volumes ONTAP
Todos os fornecedores de nuvem
  • Amazon Web Services
  • Google Cloud
  • Microsoft Azure
  • Todos os fornecedores de nuvem
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Gerencie chaves de criptografia Cloud Volumes ONTAP com o Google Cloud KMS

Colaboradores netapp-ahibbard netapp-manini netapp-driley netapp-bcammett netapp-rlithman
PDFs

Você pode usar "Serviço de gerenciamento de chaves do Google Cloud Platform (Cloud KMS)" para proteger suas chaves de criptografia do Cloud Volumes ONTAP em um aplicativo implantado no Google Cloud Platform.

O gerenciamento de chaves com o Cloud KMS pode ser habilitado com a CLI da ONTAP ou a API REST do ONTAP.

Ao usar o Cloud KMS, esteja ciente de que, por padrão, o LIF de um SVM de dados é usado para se comunicar com o endpoint de gerenciamento de chaves na nuvem. Uma rede de gerenciamento de nós é usada para se comunicar com os serviços de autenticação do provedor de nuvem (oauth2.googleapis.com). Se a rede do cluster não estiver configurada corretamente, o cluster não utilizará adequadamente o serviço de gerenciamento de chaves.

Antes de começar

  • Seu sistema deve estar executando o Cloud Volumes ONTAP 9.10.1 ou posterior

  • Você deve usar um SVM de dados. O Cloud KMS só pode ser configurado em um SVM de dados.

  • Você precisa ser um administrador de cluster ou SVM

  • A licença de Criptografia de Volume (VE) deve ser instalada no SVM

  • A partir do Cloud Volumes ONTAP 9.12.1 GA, a licença de gerenciamento de chaves de criptografia multilocatário (MTEKM) também deve ser instalada

  • É necessária uma assinatura ativa do Google Cloud Platform

Configuração

Google Cloud

  1. No ambiente do Google Cloud"Crie um anel e chave simétricos do GCP", .

  2. Atribua uma função personalizada à chave do Cloud KMS e à conta de serviço do Cloud Volumes ONTAP.

    1. Crie a função personalizada:

      gcloud iam roles create kmsCustomRole
    --project=<project_id>
    --title=<kms_custom_role_name>
    --description=<custom_role_description>
    --permissions=cloudkms.cryptoKeyVersions.get,cloudkms.cryptoKeyVersions.list,cloudkms.cryptoKeyVersions.useToDecrypt,cloudkms.cryptoKeyVersions.useToEncrypt,cloudkms.cryptoKeys.get,cloudkms.keyRings.get,cloudkms.locations.get,cloudkms.locations.list,resourcemanager.projects.get
    --stage=GA

    2. Atribua a função personalizada que você criou:
      gcloud kms keys add-iam-policy-binding key_name --keyring key_ring_name --location key_location --member serviceAccount:_service_account_Name_ --role projects/customer_project_id/roles/kmsCustomRole

      Observação Se você estiver usando o Cloud Volumes ONTAP 9.13.0 ou posterior, não precisará criar uma função personalizada. Você pode atribuir a função predefinida [cloudkms.cryptoKeyEncrypterDecrypter ^] papel.

  3. Transferir a chave JSON da conta de serviço:
    gcloud iam service-accounts keys create key-file --iam-account=sa-name@project-id.iam.gserviceaccount.com

Cloud Volumes ONTAP

  1. Conete-se ao LIF de gerenciamento de cluster com seu cliente SSH preferido.

  2. Mude para o nível de privilégio avançado:
    set -privilege advanced

  3. Criar um DNS para o SVM de dados.
    dns create -domains c.<project>.internal -name-servers server_address -vserver SVM_name

  4. Criar entrada CMEK:
    security key-manager external gcp enable -vserver SVM_name -project-id project -key-ring-name key_ring_name -key-ring-location key_ring_location -key-name key_name

  5. Quando solicitado, insira a chave JSON da conta de serviço na sua conta do GCP.

  6. Confirme se o processo ativado foi bem-sucedido:
    security key-manager external gcp check -vserver svm_name

  7. OPCIONAL: Crie um volume para testar a criptografia vol create volume_name -aggregate aggregate -vserver vserver_name -size 10G

Solucionar problemas

Se você precisar solucionar problemas, você pode desativar os logs da API REST em bruto nas duas etapas finais acima:

  1. set d

  2. systemshell -node node -command tail -f /mroot/etc/log/mlog/kmip2_client.log