Skip to main content
Todos os provedores de nuvem
  • Serviços Web da Amazon
  • Google Cloud
  • Microsoft Azure
  • Todos os provedores de nuvem
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Gerencie chaves de criptografia Cloud Volumes ONTAP com o Google Cloud KMS

Colaboradores netapp-manini
PDFs

Você pode usar"Serviço de gerenciamento de chaves da plataforma Google Cloud (Cloud KMS)" para proteger suas chaves de criptografia Cloud Volumes ONTAP em um aplicativo implantado no Google Cloud Platform.

O gerenciamento de chaves com o Cloud KMS pode ser habilitado com o ONTAP CLI ou o ONTAP REST API.

Ao usar o Cloud KMS, esteja ciente de que, por padrão, o LIF de um SVM de dados é usado para se comunicar com o ponto de extremidade de gerenciamento de chaves da nuvem. Uma rede de gerenciamento de nós é usada para se comunicar com os serviços de autenticação do provedor de nuvem (oauth2.googleapis.com). Se a rede do cluster não estiver configurada corretamente, o cluster não utilizará corretamente o serviço de gerenciamento de chaves.

Antes de começar

  • Seu sistema deve estar executando o Cloud Volumes ONTAP 9.10.1 ou posterior

  • Você deve usar um SVM de dados. O Cloud KMS pode ser configurado somente em um SVM de dados.

  • Você deve ser um administrador de cluster ou SVM

  • A licença de Criptografia de Volume (VE) deve ser instalada no SVM

  • A partir do Cloud Volumes ONTAP 9.12.1 GA, a licença de gerenciamento de chaves de criptografia multilocatário (MTEKM) também deve ser instalada

  • É necessária uma assinatura ativa do Google Cloud Platform

Configuração

Google Cloud

  1. No seu ambiente do Google Cloud,"crie um chaveiro e uma chave GCP simétricos" .

  2. Atribua uma função personalizada à chave do Cloud KMS e à conta de serviço do Cloud Volumes ONTAP .

    1. Crie a função personalizada:

      gcloud iam roles create kmsCustomRole
    --project=<project_id>
    --title=<kms_custom_role_name>
    --description=<custom_role_description>
    --permissions=cloudkms.cryptoKeyVersions.get,cloudkms.cryptoKeyVersions.list,cloudkms.cryptoKeyVersions.useToDecrypt,cloudkms.cryptoKeyVersions.useToEncrypt,cloudkms.cryptoKeys.get,cloudkms.keyRings.get,cloudkms.locations.get,cloudkms.locations.list,resourcemanager.projects.get
    --stage=GA

    2. Atribua a função personalizada que você criou:
      gcloud kms keys add-iam-policy-binding key_name --keyring key_ring_name --location key_location --member serviceAccount:_service_account_Name_ --role projects/customer_project_id/roles/kmsCustomRole

      Observação Se você estiver no Cloud Volumes ONTAP 9.13.0 ou posterior, não precisará criar uma função personalizada. Você pode atribuir o predefinido[cloudkms.cryptoKeyEncrypterDecrypter ^] papel.

  3. Baixe a chave JSON da conta de serviço:
    gcloud iam service-accounts keys create key-file --iam-account=sa-name@project-id.iam.gserviceaccount.com

Cloud Volumes ONTAP

  1. Conecte-se ao LIF de gerenciamento de cluster com seu cliente SSH preferido.

  2. Mude para o nível de privilégio avançado:
    set -privilege advanced

  3. Crie um DNS para o SVM de dados.
    dns create -domains c.<project>.internal -name-servers server_address -vserver SVM_name

  4. Criar entrada CMEK:
    security key-manager external gcp enable -vserver SVM_name -project-id project -key-ring-name key_ring_name -key-ring-location key_ring_location -key-name key_name

  5. Quando solicitado, insira a chave JSON da conta de serviço da sua conta do GCP.

  6. Confirme se o processo habilitado foi bem-sucedido:
    security key-manager external gcp check -vserver svm_name

  7. OPCIONAL: Crie um volume para testar a criptografia vol create volume_name -aggregate aggregate -vserver vserver_name -size 10G

Solução de problemas

Se precisar solucionar problemas, você pode seguir os logs brutos da API REST nas duas etapas finais acima:

  1. set d

  2. systemshell -node node -command tail -f /mroot/etc/log/mlog/kmip2_client.log