Configurando o AWS KMS
Se você quiser usar a criptografia da Amazon com o Cloud Volumes ONTAP, precisará configurar o Serviço de Gerenciamento de chaves da AWS (KMS).
-
Certifique-se de que existe uma chave mestra do cliente (CMK) ativa.
O CMK pode ser um CMK gerenciado pela AWS ou um CMK gerenciado pelo cliente. Ele pode estar na mesma conta da AWS que o Cloud Manager e o Cloud Volumes ONTAP ou em uma conta diferente da AWS.
-
Modifique a política de chave para cada CMK adicionando a função IAM que fornece permissões ao Cloud Manager como um usuário chave.
Adicionar a função do IAM como um usuário-chave dá permissões ao Cloud Manager para usar o CMK com Cloud Volumes ONTAP.
-
Se o CMK estiver em uma conta AWS diferente, execute as seguintes etapas:
-
Vá para o console do KMS a partir da conta onde o CMK reside.
-
Selecione a tecla .
-
No painel General Configuration (Configuração geral), copie o ARN da chave.
Você precisará fornecer o ARN ao Cloud Manager ao criar o sistema Cloud Volumes ONTAP.
-
No painel outras contas da AWS, adicione a conta da AWS que fornece permissões ao Cloud Manager.
Na maioria dos casos, essa é a conta na qual reside o Cloud Manager. Se o Cloud Manager não fosse instalado na AWS, seria a conta para a qual você forneceu as chaves de acesso da AWS ao Cloud Manager.
-
Agora mude para a conta da AWS que fornece permissões ao Cloud Manager e abra o console do IAM.
-
Crie uma política do IAM que inclua as permissões listadas abaixo.
-
Anexe a política à função do IAM ou ao usuário do IAM que fornece permissões ao Cloud Manager.
A política a seguir fornece as permissões que o Cloud Manager precisa para usar o CMK da conta externa da AWS. Certifique-se de modificar a região e o ID da conta nas seções "recurso".
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowUseOfTheKey", "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:us-east-1:externalaccountid:key/externalkeyid" ] }, { "Sid": "AllowAttachmentOfPersistentResources", "Effect": "Allow", "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": [ "arn:aws:kms:us-east-1:externalaccountid:key/externalaccountid" ], "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ] }
+
Para obter detalhes adicionais sobre esse processo, "Documentação da AWS: Permitindo que contas externas da AWS acessem um CMK"consulte . -