简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。
使用AWS密钥管理服务管理密钥
贡献者
建议更改
PDF
您可以使用 "AWS的密钥管理服务(KMS)" 在AWS部署的应用程序中保护ONTAP加密密钥。
可以使用命令行界面或ONTAP REST API启用AWS KMS的密钥管理。
使用KMS时、请注意、默认情况下、数据SVM的LIF用于与云密钥管理端点进行通信。节点管理网络用于与AWS的身份验证服务进行通信。如果集群网络配置不正确,集群将无法正确利用密钥管理服务。
开始之前
-
Cloud Volumes ONTAP必须运行9.12.0或更高版本
-
您必须已安装卷加密(VE)许可证和
-
您必须已安装多租户加密密钥管理(MTEKM)许可证。
-
您必须是集群管理员或SVM管理员
-
您必须拥有有效的AWS订阅
|
您只能为数据SVM配置密钥。 |
Configuration
AWS
-
您必须创建 "授予" 用于管理加密的IAM角色要使用的AWS KMS密钥。IAM角色必须包含一个允许执行以下操作的策略:
-
DescribeKey -
Encrypt -
Decrypt
要创建授予、请参见 "AWS 文档"。
-
-
"将策略添加到相应的IAM角色。" 此策略应支持
DescribeKey,Encrypt,和Decrypt操作。
Cloud Volumes ONTAP
-
切换到Cloud Volumes ONTAP环境。
-
切换到高级权限级别:
set -privilege advanced -
启用AWS密钥管理器:
security key-manager external aws enable -vserver data_svm_name -region AWS_region -key-id key_ID -encryption-context encryption_context -
出现提示时、输入机密密钥。
-
确认已正确配置AWS KMS:
security key-manager external aws show -vserver svm_name