Gerencie gerenciadores de chaves externos com o System Manager
A partir do ONTAP 9.7, você pode armazenar e gerenciar chaves de autenticação e criptografia com o Gerenciador de chaves integrado. A partir do ONTAP 9.13,1, você também pode usar gerenciadores de chaves externos para armazenar e gerenciar essas chaves.
O Gerenciador de chaves integrado armazena e gerencia chaves em um banco de dados seguro interno ao cluster. Seu escopo é o cluster. Um gerenciador de chaves externo armazena e gerencia chaves fora do cluster. Seu escopo pode ser o cluster ou a VM de storage. Um ou mais gerenciadores de chaves externos podem ser usados. Aplicam-se as seguintes condições:
-
Se o Gerenciador de chaves integrado estiver habilitado, um gerenciador de chaves externo não poderá ser habilitado no nível do cluster, mas poderá ser habilitado no nível da VM de armazenamento.
-
Se um gerenciador de chaves externo estiver habilitado no nível do cluster, o Gerenciador de chaves integrado não poderá ser habilitado.
Ao usar gerenciadores de chaves externos, você pode Registrar até quatro servidores de chaves primárias por VM de armazenamento e cluster. Cada servidor de chave primária pode ser agrupado com até três servidores de chaves secundárias.
Configurar um gerenciador de chaves externo
Para adicionar um gerenciador de chaves externo para uma VM de armazenamento, você deve adicionar um gateway opcional ao configurar a interface de rede para a VM de armazenamento. Se a VM de armazenamento foi criada sem a rota de rede, você terá que criar a rota explicitamente para o gerenciador de chaves externo. "Criar um LIF (interface de rede)"Consulte .
Você pode configurar um gerenciador de chaves externo a partir de diferentes locais no System Manager.
-
Para configurar um gerenciador de chaves externo, execute um dos seguintes passos iniciais.
Fluxo de trabalho
Navegação
Etapa inicial
Configure o Gerenciador de chaves
Cluster > Settings
Role até a seção Segurança. Em encriptação, selecione . Selecione External Key Manager.
Adicionar nível local
Armazenamento > camadas
Selecione * Adicionar nível local*. Marque a caixa de seleção "Configurar Gerenciador de chaves". Selecione External Key Manager.
Prepare o armazenamento
Painel
Na seção capacidade, selecione preparar armazenamento. Em seguida, selecione "Configure Key Manager". Selecione External Key Manager.
Configurar a criptografia (gerenciador de chaves somente no escopo da VM de storage)
Storage > Storage VMs
Selecione a VM de armazenamento. Selecione a guia Configurações. Na seção criptografia em Segurança, selecione .
-
Para adicionar um servidor de chave primária, selecione e preencha os campos Endereço IP ou Nome do host e porta.
-
Os certificados instalados existentes são listados nos campos certificados KMIP Server CA e KMIP Client Certificate. Você pode executar qualquer uma das seguintes ações:
-
Selecione para selecionar os certificados instalados que pretende mapear para o gestor de chaves. (Podem ser selecionados vários certificados de CA de serviço, mas apenas um certificado de cliente pode ser selecionado.)
-
Selecione Adicionar novo certificado para adicionar um certificado que ainda não tenha sido instalado e mapeie-o para o gerenciador de chaves externo.
-
Selecione ao lado do nome do certificado para excluir os certificados instalados que você não deseja mapear para o gerenciador de chaves externo.
-
-
Para adicionar um servidor de chaves secundário, selecione Add na coluna Secondary Key Servers e forneça seus detalhes.
-
Selecione Save para concluir a configuração.
Editar um gerenciador de chaves externo existente
Se você já tiver configurado um gerenciador de chaves externo, poderá modificar suas configurações.
-
Para editar a configuração de um gerenciador de chaves externo, execute um dos seguintes passos iniciais.
Âmbito de aplicação
Navegação
Etapa inicial
Gerenciador de chaves externo do escopo do cluster
Cluster > Settings
Role até a seção Segurança. Em Encryption, selecione e, em seguida, selecione Edit External Key Manager.
Gerenciador de chaves externo de escopo da VM de storage
Storage > Storage VMs
Selecione a VM de armazenamento. Selecione a guia Configurações. Na seção criptografia em Segurança, selecione e selecione Editar Gerenciador de chaves externas.
-
Os servidores de chave existentes estão listados na tabela Key Servers. Você pode executar as seguintes operações:
-
Adicione um novo servidor de chaves selecionando .
-
Exclua um servidor de chaves selecionando no final da célula da tabela que contém o nome do servidor de chaves. Os servidores de chave secundária associados a esse servidor de chave primária também são removidos da configuração.
-
Excluir um gerenciador de chaves externo
Um gerenciador de chaves externo pode ser excluído se os volumes não forem criptografados.
-
Para excluir um gerenciador de chaves externo, execute uma das etapas a seguir.
Âmbito de aplicação
Navegação
Etapa inicial
Gerenciador de chaves externo do escopo do cluster
Cluster > Settings
Role até a seção Segurança. Em Encryption, selecione e, em seguida, selecione Delete External Key Manager.
Gerenciador de chaves externo de escopo da VM de storage
Storage > Storage VMs
Selecione a VM de armazenamento. Selecione a guia Configurações. Na seção criptografia em Segurança, selecione e selecione Excluir Gerenciador de chaves externas.