设置 AWS KMS
建议更改
PDF
如果要在 Cloud Volumes ONTAP 中使用 Amazon 加密,则需要设置 AWS 密钥管理服务( KMS )。
-
确保存在有效的客户主密钥( CMK )。
CMK 可以是 AWS 管理的 CMK 或客户管理的 CMK 。它可以与BlueXP和Cloud Volumes ONTAP 位于同一个AWS帐户中、也可以位于不同的AWS帐户中。
-
通过添加IAM角色来修改每个CMK的密钥策略、该角色以_key user__的身份为BlueXP提供权限。
如果将IAM角色添加为密钥用户、则BlueXP将获得在Cloud Volumes ONTAP 中使用CMK的权限。
-
如果 CMK 位于其他 AWS 帐户中,请完成以下步骤:
-
从 CMK 所在的帐户转到 KMS 控制台。
-
选择密钥。
-
在 * 常规配置 * 窗格中,复制密钥的 ARN 。
创建Cloud Volumes ONTAP 系统时、您需要为BlueXP提供ARN。
-
在*其他AWS帐户*窗格中、添加为BlueXP提供权限的AWS帐户。
在大多数情况下、这是BlueXP所在的帐户。如果BlueXP未安装在AWS中、则您会为其提供对BlueXP的AWS访问密钥。
-
现在、切换到为BlueXP提供权限的AWS帐户、然后打开IAM控制台。
-
创建一个包含以下权限的 IAM 策略。
-
将策略附加到为BlueXP提供权限的IAM角色或IAM用户。
以下策略提供了BlueXP从外部AWS帐户使用CMK所需的权限。请务必在 " 资源 " 部分中修改区域和帐户 ID 。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowUseOfTheKey", "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:us-east-1:externalaccountid:key/externalkeyid" ] }, { "Sid": "AllowAttachmentOfPersistentResources", "Effect": "Allow", "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": [ "arn:aws:kms:us-east-1:externalaccountid:key/externalaccountid" ], "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ] }+
有关此过程的其他详细信息,请参阅 "AWS 文档:允许其他帐户中的用户使用 KMS 密钥"。 -
-
如果您使用的是客户管理的 Cloud Volumes ONTAP ,请通过将 CMK 的 IAM 角色添加为 _key user_来 修改 CMK 的密钥策略。
如果您在 Cloud Volumes ONTAP 上启用了数据分层并希望对存储在 S3 存储分段中的数据进行加密,则需要执行此步骤。
部署 Cloud Volumes ONTAP 后,您需要执行此步骤,因为 IAM 角色是在创建工作环境时创建的。(当然,您可以选择使用现有的 Cloud Volumes ONTAP IAM 角色,因此可以先执行此步骤。)