Skip to main content
Cloud Volumes ONTAP
所有云提供商
  • Amazon Web Services
  • Google Cloud
  • Microsoft Azure
  • 所有云提供商
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

设置 AWS KMS

贡献者

如果要在 Cloud Volumes ONTAP 中使用 Amazon 加密,则需要设置 AWS 密钥管理服务( KMS )。

步骤
  1. 确保存在有效的客户主密钥( CMK )。

    CMK 可以是 AWS 管理的 CMK 或客户管理的 CMK 。它可以与BlueXP和Cloud Volumes ONTAP 位于同一个AWS帐户中、也可以位于不同的AWS帐户中。

  2. 通过添加IAM角色来修改每个CMK的密钥策略、该角色以_key user__的身份为BlueXP提供权限。

    如果将IAM角色添加为密钥用户、则BlueXP将获得在Cloud Volumes ONTAP 中使用CMK的权限。

  3. 如果 CMK 位于其他 AWS 帐户中,请完成以下步骤:

    1. 从 CMK 所在的帐户转到 KMS 控制台。

    2. 选择密钥。

    3. 在 * 常规配置 * 窗格中,复制密钥的 ARN 。

      创建Cloud Volumes ONTAP 系统时、您需要为BlueXP提供ARN。

    4. 在*其他AWS帐户*窗格中、添加为BlueXP提供权限的AWS帐户。

      在大多数情况下、这是BlueXP所在的帐户。如果BlueXP未安装在AWS中、则您会为其提供对BlueXP的AWS访问密钥。

      此屏幕截图显示了 AWS KMS 控制台中的 " 添加其他 AWS 帐户 " 按钮。

      此屏幕截图显示了 AWS KMS 控制台中的 " 其他 AWS 帐户 " 对话框。

    5. 现在、切换到为BlueXP提供权限的AWS帐户、然后打开IAM控制台。

    6. 创建一个包含以下权限的 IAM 策略。

    7. 将策略附加到为BlueXP提供权限的IAM角色或IAM用户。

      以下策略提供了BlueXP从外部AWS帐户使用CMK所需的权限。请务必在 " 资源 " 部分中修改区域和帐户 ID 。

    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Sid": "AllowUseOfTheKey",
                "Effect": "Allow",
                "Action": [
                    "kms:Encrypt",
                    "kms:Decrypt",
                    "kms:ReEncrypt*",
                    "kms:GenerateDataKey*",
                    "kms:DescribeKey"
                ],
                "Resource": [
                    "arn:aws:kms:us-east-1:externalaccountid:key/externalkeyid"
                ]
            },
            {
                "Sid": "AllowAttachmentOfPersistentResources",
                "Effect": "Allow",
                "Action": [
                    "kms:CreateGrant",
                    "kms:ListGrants",
                    "kms:RevokeGrant"
                ],
                "Resource": [
                    "arn:aws:kms:us-east-1:externalaccountid:key/externalaccountid"
                ],
                "Condition": {
                    "Bool": {
                        "kms:GrantIsForAWSResource": true
                    }
                }
            }
        ]
    }

    +
    有关此过程的其他详细信息,请参阅 "AWS 文档:允许其他帐户中的用户使用 KMS 密钥"

  4. 如果您使用的是客户管理的 Cloud Volumes ONTAP ,请通过将 CMK 的 IAM 角色添加为 _key user_来 修改 CMK 的密钥策略。

    如果您在 Cloud Volumes ONTAP 上启用了数据分层并希望对存储在 S3 存储分段中的数据进行加密,则需要执行此步骤。

    部署 Cloud Volumes ONTAP 后,您需要执行此步骤,因为 IAM 角色是在创建工作环境时创建的。(当然,您可以选择使用现有的 Cloud Volumes ONTAP IAM 角色,因此可以先执行此步骤。)