Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Gerencie chaves com um provedor de nuvem

Colaboradores

A partir do ONTAP 9.10,1, você pode usar "Azure Key Vault (AKV)" e "Serviço de gerenciamento de chaves do Google Cloud Platform (Cloud KMS)"proteger suas chaves de criptografia ONTAP em um aplicativo hospedado na nuvem. A partir do ONTAP 9.12,0, também é possível proteger as chaves NVE com "KMS DA AWS"o .

O AWS KMS, AKV e o Cloud KMS podem ser usados para proteger "Chaves de criptografia de volume NetApp (NVE)" somente SVMs de dados.

Sobre esta tarefa

O gerenciamento de chaves com um fornecedor de nuvem pode ser habilitado com a CLI ou a API REST do ONTAP.

Ao usar um provedor de nuvem para proteger suas chaves, esteja ciente de que, por padrão, um data SVM LIF é usado para se comunicar com o endpoint de gerenciamento de chaves na nuvem. Uma rede de gerenciamento de nós é usada para se comunicar com os serviços de autenticação do provedor de nuvem (login.microsoftonline.com para Azure; oauth2.googleapis.com para Cloud KMS). Se a rede do cluster não estiver configurada corretamente, o cluster não utilizará adequadamente o serviço de gerenciamento de chaves.

Ao utilizar um serviço de gerenciamento de chaves do provedor de nuvem, você deve estar ciente das seguintes limitações:

  • O gerenciamento de chaves do fornecedor de nuvem não está disponível para criptografia de storage NetApp (NSE) e criptografia agregada NetApp (NAE). "KMIPs externos" pode ser usado em vez disso.

  • O gerenciamento de chaves do fornecedor de nuvem não está disponível para configurações do MetroCluster.

  • O gerenciamento de chaves do fornecedor de nuvem só pode ser configurado em um data SVM.

Antes de começar

Ativar o gerenciamento de chaves externas

A ativação do gerenciamento de chaves externas depende do gerenciador de chaves específico que você usa. Escolha a guia do gerenciador de chaves e do ambiente apropriados.

AWS
Antes de começar
  • Você deve criar uma subvenção para a chave AWS KMS que será usada pela função de gerenciamento de criptografia do IAM. A função IAM deve incluir uma política que permita as seguintes operações:

    • DescribeKey

    • Encrypt

    • Decrypt Para obter mais informações, consulte a documentação da AWS para "subvenções".

Habilite o AWS KMV em um SVM do ONTAP
  1. Antes de começar, obtenha o ID da chave de acesso e a chave secreta do seu AWS KMS.

  2. Defina o nível de privilégio como avançado:
    set -priv advanced

  3. Habilite o AWS KMS:
    security key-manager external aws enable -vserver svm_name -region AWS_region -key-id key_ID -encryption-context encryption_context

  4. Quando solicitado, insira a chave secreta.

  5. Confirme se o AWS KMS foi configurado corretamente:
    security key-manager external aws show -vserver svm_name

Azure
Habilite o cofre de chaves do Azure em um SVM do ONTAP
  1. Antes de começar, você precisa obter as credenciais de autenticação apropriadas da sua conta Azure, seja um segredo de cliente ou certificado. Você também precisa garantir que todos os nós no cluster estejam íntegros. Você pode verificar isso com o comando cluster show.

  2. Defina o nível privilegiado como avançado
    set -priv advanced

  3. Ativar AKV no SVM
    security key-manager external azure enable -client-id client_id -tenant-id tenant_id -name -key-id key_id -authentication-method {certificate|client-secret} quando solicitado, insira o certificado de cliente ou o segredo do cliente na sua conta Azure.

  4. Verifique se o AKV está ativado corretamente:
    security key-manager external azure show vserver svm_name Se a acessibilidade do serviço não estiver OK, estabeleça a conetividade com o serviço de gerenciamento de chaves AKV através dos dados SVM LIF.

Google Cloud
Habilite o KMS da nuvem em um SVM do ONTAP
  1. Antes de começar, obtenha a chave privada para o arquivo de chave de conta KMS do Google Cloud em um formato JSON. Isso pode ser encontrado na sua conta do GCP. Você também precisa garantir que todos os nós no cluster estejam íntegros. Você pode verificar isso com o comando cluster show.

  2. Defina o nível privilegiado como avançado:
    set -priv advanced

  3. Ative o Cloud KMS no SVM
    security key-manager external gcp enable -vserver svm_name -project-id project_id-key-ring-name key_ring_name -key-ring-location key_ring_location -key-name key_name quando solicitado, insira o conteúdo do arquivo JSON com a chave privada da conta de serviço

  4. Verifique se o Cloud KMS está configurado com os parâmetros corretos:
    security key-manager external gcp show vserver svm_name O status do kms_wrapped_key_status será “UNKNOWN” se nenhum volume criptografado tiver sido criado. Se a acessibilidade do serviço não estiver OK, estabeleça a conectividade com o serviço de gerenciamento de chaves do GCP por meio do data SVM LIF.

Se um ou mais volumes criptografados já estiverem configurados para um SVM de dados e as chaves NVE correspondentes forem gerenciadas pelo gerenciador de chaves integrado SVM de administrador, essas chaves deverão ser migradas para o serviço de gerenciamento de chaves externo. Para fazer isso com a CLI, execute o comando:
security key-manager key migrate -from-Vserver admin_SVM -to-Vserver data_SVM Novos volumes criptografados não podem ser criados para o SVM de dados do locatário até que todas as chaves NVE do SVM de dados sejam migradas com sucesso.