Skip to main content
Cloud Volumes ONTAP
所有云提供商
  • Amazon Web Services
  • Google Cloud
  • Microsoft Azure
  • 所有云提供商
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

使用AWS密钥管理服务管理密钥

贡献者

您可以使用 "AWS的密钥管理服务(KMS)" 在AWS部署的应用程序中保护ONTAP加密密钥。

可以使用命令行界面或ONTAP REST API启用AWS KMS的密钥管理。

使用KMS时、请注意、默认情况下、数据SVM的LIF用于与云密钥管理端点进行通信。节点管理网络用于与AWS的身份验证服务进行通信。如果集群网络配置不正确,集群将无法正确利用密钥管理服务。

开始之前

  • Cloud Volumes ONTAP必须运行9.12.0或更高版本

  • 您必须已安装卷加密(VE)许可证和

  • 您必须已安装多租户加密密钥管理(MTEKM)许可证。

  • 您必须是集群管理员或SVM管理员

  • 您必须拥有有效的AWS订阅

备注 您只能为数据SVM配置密钥。

Configuration

AWS

  1. 您必须创建 "授予" 用于管理加密的IAM角色要使用的AWS KMS密钥。IAM角色必须包含一个允许执行以下操作的策略:

    • DescribeKey

    • Encrypt

    • Decrypt
      要创建授予、请参见 "AWS 文档"

  2. "将策略添加到相应的IAM角色。" 此策略应支持 DescribeKeyEncrypt,和 Decrypt 操作。

Cloud Volumes ONTAP

  1. 切换到Cloud Volumes ONTAP环境。

  2. 切换到高级权限级别:set -privilege advanced

  3. 启用AWS密钥管理器:
    security key-manager external aws enable -vserver data_svm_name -region AWS_region -key-id key_ID -encryption-context encryption_context

  4. 出现提示时、输入机密密钥。

  5. 确认已正确配置AWS KMS:
    security key-manager external aws show -vserver svm_name