Skip to main content
Cloud Volumes ONTAP
所有云提供商
  • Amazon Web Services
  • Google Cloud
  • Microsoft Azure
  • 所有云提供商
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

使用Google的云密钥管理服务管理密钥

贡献者

您可以使用 "Google Cloud Platform 的密钥管理服务( Cloud KMS )" 在部署了Google Cloud Platform的应用程序中保护ONTAP 加密密钥。

可以使用命令行界面或ONTAP REST API启用Cloud KMS的密钥管理。

使用Cloud KMS时、请注意、默认情况下、数据SVM的LIF用于与云密钥管理端点进行通信。节点管理网络用于与云提供商的身份验证服务(oauth2.googleapis.com)进行通信。如果集群网络配置不正确,集群将无法正确利用密钥管理服务。

开始之前
  • Cloud Volumes ONTAP 必须运行9.10.1或更高版本

  • 已安装卷加密( VE )许可证

  • 安装了多租户加密密钥管理(MTEKM)许可证、从Cloud Volumes ONTAP 9.12.1 GA开始。

  • 您必须是集群管理员或SVM管理员

  • 有效的Google Cloud Platform订阅

限制
  • 只能在数据SVM上配置Cloud KMS

Configuration

Google Cloud
  1. 在Google Cloud环境中、 "创建对称GCP密钥环和密钥"

  2. 为Cloud Volumes ONTAP 服务帐户创建自定义角色。

    gcloud iam roles create kmsCustomRole
        --project=<project_id>
        --title=<kms_custom_role_name>
        --description=<custom_role_description>
        --permissions=cloudkms.cryptoKeyVersions.get,cloudkms.cryptoKeyVersions.list,cloudkms.cryptoKeyVersions.useToDecrypt,cloudkms.cryptoKeyVersions.useToEncrypt,cloudkms.cryptoKeys.get,cloudkms.keyRings.get,cloudkms.locations.get,cloudkms.locations.list,resourcemanager.projects.get
        --stage=GA
  3. 将自定义角色分配给云KMS密钥和Cloud Volumes ONTAP 服务帐户:gcloud kms keys add-iam-policy-binding key_name-keyring key_ring_name-location key_location-member serviceAccount:service_account_Name-role projects_custom_id_/role/kmsRole

  4. 下载服务帐户JSON密钥:gcloud iam service-accounts keys create key-file -iam-account=sa-name@project-id.iam.gserviceaccount.com

Cloud Volumes ONTAP
  1. 使用首选SSH客户端连接到集群管理LIF。

  2. 切换到高级权限级别:set -privilege advanced

  3. 为数据SVM创建DNS。dns create -domains C.<project>.internal -name-servers server_address-vserver svm_name

  4. 创建CMEE条目:security key-manager external gcp enable -vserver svm_name-project-id project-key-ring-name key_ring_name-key-ring-location key_ring_location-key-name key_name

  5. 出现提示时、输入GCP帐户中的服务帐户JSON密钥。

  6. 确认已启用的过程成功:security key-manager external GCP check -vserver svm_name

  7. 可选:创建一个卷以测试加密`vol create volume_name-aggregate aggregate-vserver vserver_name-size 10G`

故障排除

如果您需要进行故障排除、可以在上述最后两个步骤中结束原始REST API日志:

  1. set d

  2. systemshell -node node-command tail -f /mroot/etc/log/mlog/kmip2_client.log