Skip to main content
Cloud Volumes ONTAP
所有云提供商
  • Amazon Web Services
  • Google Cloud
  • Microsoft Azure
  • 所有云提供商
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

设置 Cloud Volumes ONTAP 以在 Azure 中使用客户管理的密钥

贡献者
PDF

在 Azure 中的 Cloud Volumes ONTAP 上使用 Azure 存储服务加密和 Microsoft 管理的密钥自动对数据进行加密。但是,您可以按照此页面上的步骤使用自己的加密密钥。

数据加密概述

Cloud Volumes ONTAP数据在Azure中使用自动加密 "Azure 存储服务加密"。默认实施使用 Microsoft 管理的密钥。无需设置。

如果要在 Cloud Volumes ONTAP 中使用客户管理的密钥,则需要完成以下步骤:

  1. 从 Azure 创建密钥存储,然后在该存储中生成密钥。

  2. 在BlueXP中、使用API创建使用密钥的Cloud Volumes ONTAP 工作环境。

密钥轮换

如果创建新版本的密钥, Cloud Volumes ONTAP 将自动使用最新版本的密钥。

如何对数据进行加密

BlueXP使用磁盘加密集、通过该集、可以管理受管磁盘而非页面Blobs的加密密钥。任何新数据磁盘也会使用相同的磁盘加密集。较低版本将使用Microsoft管理的密钥、而不是客户管理的密钥。

创建配置为使用客户管理的密钥的 Cloud Volumes ONTAP 工作环境后, Cloud Volumes ONTAP 数据将按如下所示进行加密。

Cloud Volumes ONTAP 配置 用于密钥加密的系统磁盘 用于密钥加密的数据磁盘

单个节点

  • 启动

  • 核心

  • NVRAM

  • root

  • 数据

包含页面块的Azure HA单一可用性区域

  • 启动

  • 核心

  • NVRAM

使用共享托管磁盘的Azure HA单个可用性区域

  • 启动

  • 核心

  • NVRAM

  • root

  • 数据

Azure HA具有多个可用性区域、其中包含共享托管磁盘

  • 启动

  • 核心

  • NVRAM

  • root

  • 数据

适用于 Cloud Volumes ONTAP 的所有 Azure 存储帐户均使用客户管理的密钥进行加密。如果要在创建存储帐户期间对其进行加密、则必须在Cloud Volumes ONTAP 创建请求中创建并提供资源的ID。这适用于所有类型的部署。如果您不提供此密钥、则存储帐户仍将加密、但BlueXP将首先使用Microsoft管理的密钥加密创建存储帐户、然后更新存储帐户以使用客户管理的密钥。

创建用户分配的受管身份

您可以选择创建一个称为用户分配的托管标识的资源。这样、您可以在创建Cloud Volumes ONTAP工作环境时对存储帐户进行加密。建议在创建密钥存储和生成密钥之前先创建此资源。

此资源的ID如下: userassignedidentity

步骤

  1. 在Azure中、转到Azure服务并选择*托管身份*。

  2. 单击 * 创建 * 。

  3. 请提供以下详细信息:

    • 订阅:选择订阅。我们建议选择与Connector订阅相同的订阅。

    • 资源组:使用现有资源组或创建新资源组。

    • 区域:(可选)选择与连接器相同的区域。

    • 名称:输入资源的名称。

  4. (可选)添加标记。

  5. 单击 * 创建 * 。

创建密钥存储并生成密钥

密钥存储必须位于您计划创建 Cloud Volumes ONTAP 系统的同一 Azure 订阅和区域中。

如果您 已创建用户分配的受管身份,创建密钥存储时,还应为密钥存储创建访问策略。

步骤

  1. "在 Azure 订阅中创建密钥存储"

    请注意密钥存储的以下要求:

    • 密钥存储必须与 Cloud Volumes ONTAP 系统位于同一区域。

    • 应启用以下选项:

      • * 软删除 * (默认情况下,此选项处于启用状态,但必须禁用 not

      • * 清除保护 *

      • 用于卷加密的Azure磁盘加密(适用于单节点系统、多个区域中的HA对以及HA单AZ部署)

        备注 Azure客户管理的加密密钥的使用取决于是否为密钥存储启用了Azure磁盘加密。

    • 如果创建了用户分配的受管身份、则应启用以下选项:

      • 存储访问策略

  2. 如果选择了存储访问策略、请单击创建为密钥存储创建访问策略。如果没有、请跳至步骤3。

    1. 选择以下权限:

      • 获取

      • 列表

      • 解密

      • 加密

      • 取消换行键

      • 换行键

      • 验证

      • 签名

    2. 选择用户分配的受管标识(资源)作为主体。

    3. 查看并创建访问策略。

  3. "在密钥存储中生成密钥"

    请注意此密钥的以下要求:

    • 密钥类型必须为 * RSA * 。

    • 建议的 RSA 密钥大小为 * 2048 * ,但支持其他大小。

创建一个使用加密密钥的工作环境

创建密钥存储并生成加密密钥后,您可以创建一个配置为使用此密钥的新 Cloud Volumes ONTAP 系统。使用BlueXP API可支持这些步骤。

所需权限

如果要在单节点Cloud Volumes ONTAP 系统中使用客户管理的密钥、请确保BlueXP Connector具有以下权限:

"Microsoft.Compute/diskEncryptionSets/read",
"Microsoft.Compute/diskEncryptionSets/write",
"Microsoft.Compute/diskEncryptionSets/delete"
"Microsoft.KeyVault/vaults/deploy/action",
"Microsoft.KeyVault/vaults/read",
"Microsoft.KeyVault/vaults/accessPolicies/write",
"Microsoft.ManagedIdentity/userAssignedIdentities/assign/action"

"查看最新的权限列表"

步骤

  1. 使用以下BlueXP API调用获取Azure订阅中的密钥存储列表。

    对于 HA 对: get /azure/ha/metadata/vaults

    对于单个节点: get /azure/vsa/metadata/vaults

    记下 * 名称 * 和 * 资源组 * 。您需要在下一步中指定这些值。

    "了解有关此 API 调用的更多信息"

  2. 使用以下BlueXP API调用获取存储中的密钥列表。

    对于 HA 对: get /azure/ha/metadata/keys-vault

    对于单个节点: get /azure/vsa/metadata/keys-vault

    记下 * 密钥名称 * 。您需要在下一步中指定该值(以及存储名称)。

    "了解有关此 API 调用的更多信息"

  3. 使用以下BlueXP API调用创建Cloud Volumes ONTAP 系统。

    1. 对于 HA 对:

      发布 /azure/ha/cluster-environments

      请求正文必须包含以下字段:

      "azureEncryptionParameters": {
              "key": "keyName",
              "vaultName": "vaultName"
}
      备注 包括 "userAssignedIdentity": " userAssignedIdentityId" 字段。

      "了解有关此 API 调用的更多信息"

    2. 对于单节点系统:

      发布 /azure/vsa/cluster-environments

      请求正文必须包含以下字段:

      "azureEncryptionParameters": {
              "key": "keyName",
              "vaultName": "vaultName"
}
      备注 包括 "userAssignedIdentity": " userAssignedIdentityId" 字段。

    "了解有关此 API 调用的更多信息"

结果

您有一个新的 Cloud Volumes ONTAP 系统,该系统配置为使用客户管理的密钥进行数据加密。