Gerencie chaves de criptografia Cloud Volumes ONTAP com o AWS Key Management Service
Sugerir alterações
PDFs
Você pode usar"Serviço de gerenciamento de chaves (KMS) da AWS" para proteger suas chaves de criptografia ONTAP em um aplicativo implantado pela AWS.
O gerenciamento de chaves com o AWS KMS pode ser habilitado com a CLI ou a API REST do ONTAP .
Ao usar o KMS, esteja ciente de que, por padrão, o LIF de um SVM de dados é usado para se comunicar com o ponto de extremidade de gerenciamento de chaves da nuvem. Uma rede de gerenciamento de nós é usada para se comunicar com os serviços de autenticação da AWS. Se a rede do cluster não estiver configurada corretamente, o cluster não utilizará corretamente o serviço de gerenciamento de chaves.
-
O Cloud Volumes ONTAP deve estar executando a versão 9.12.0 ou posterior
-
Você deve ter instalado a licença de Criptografia de Volume (VE) e
-
Você deve ter instalada a licença do Multi-tenant Encryption Key Management (MTEKM).
-
Você deve ser um administrador de cluster ou SVM
-
Você deve ter uma assinatura ativa da AWS
|
Você só pode configurar chaves para um SVM de dados. |
Configuração
-
Você deve criar um"conceder" para a chave AWS KMS que será usada pela função do IAM que gerencia a criptografia. A função do IAM deve incluir uma política que permita as seguintes operações:
-
DescribeKey -
Encrypt -
`Decrypt`Para criar uma subvenção, consulte"Documentação do AWS" .
-
-
"Adicione uma política à função do IAM apropriada."A política deve apoiar a
DescribeKey,Encrypt, eDecryptoperações.
-
Mude para seu ambiente Cloud Volumes ONTAP .
-
Mude para o nível de privilégio avançado:
set -privilege advanced -
Habilite o gerenciador de chaves da AWS:
security key-manager external aws enable -vserver data_svm_name -region AWS_region -key-id key_ID -encryption-context encryption_context -
Quando solicitado, digite a chave secreta.
-
Confirme se o AWS KMS foi configurado corretamente:
security key-manager external aws show -vserver svm_name