简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

设置 Cloud Volumes ONTAP 以在 Azure 中使用客户管理的密钥

提供者 netapp-bcammett 下载此页面的 PDF

数据会使用在 Azure 中的 Cloud Volumes ONTAP 上自动加密 "Azure 存储服务加密" 使用 Microsoft 管理的密钥。但是,您可以按照此页面上的步骤使用自己的加密密钥。

数据加密概述

Cloud Volumes ONTAP 数据在 Azure 中使用自动加密 "Azure 存储服务加密"。默认实施使用 Microsoft 管理的密钥。无需设置。

如果要在 Cloud Volumes ONTAP 中使用客户管理的密钥,则需要完成以下步骤:

  1. 从 Azure 创建密钥存储,然后在该存储中生成密钥

  2. 在 Cloud Manager 中,使用 API 创建使用密钥的 Cloud Volumes ONTAP 工作环境

密钥轮换

如果创建新版本的密钥, Cloud Volumes ONTAP 将自动使用最新版本的密钥。

如何对数据进行加密

创建配置为使用客户管理的密钥的 Cloud Volumes ONTAP 工作环境后, Cloud Volumes ONTAP 数据将按如下所示进行加密。

HA 对
  • 适用于 Cloud Volumes ONTAP 的所有 Azure 存储帐户均使用客户管理的密钥进行加密。

  • 任何新存储帐户(例如,添加磁盘或聚合时)也会使用相同的密钥。

单个节点
  • 适用于 Cloud Volumes ONTAP 的所有 Azure 存储帐户均使用客户管理的密钥进行加密。

  • 对于根磁盘,启动磁盘和数据磁盘, Cloud Manager 使用 "磁盘加密集",用于管理具有受管磁盘的加密密钥。

  • 任何新数据磁盘也会使用相同的磁盘加密集。

  • NVRAM 和核心磁盘会使用 Microsoft 管理的密钥进行加密,而不是使用客户管理的密钥进行加密。

创建密钥存储并生成密钥

密钥存储必须位于您计划创建 Cloud Volumes ONTAP 系统的同一 Azure 订阅和区域中。

步骤
  1. "在 Azure 订阅中创建密钥存储"

    请注意密钥存储的以下要求:

    • 密钥存储必须与 Cloud Volumes ONTAP 系统位于同一区域。

    • 应启用以下选项:

      • * 软删除 * (默认情况下,此选项处于启用状态,但必须禁用 not

      • * 清除保护 *

      • * 用于卷加密的 Azure 磁盘加密 * (仅适用于单节点 Cloud Volumes ONTAP 系统)

  2. "在密钥存储中生成密钥"

    请注意此密钥的以下要求:

    • 密钥类型必须为 * RSA * 。

    • 建议的 RSA 密钥大小为 * 2048 * ,但支持其他大小。

创建一个使用加密密钥的工作环境

创建密钥存储并生成加密密钥后,您可以创建一个配置为使用此密钥的新 Cloud Volumes ONTAP 系统。使用 Cloud Manager API 可支持这些步骤。

如果要在单节点 Cloud Volumes ONTAP 系统中使用客户管理的密钥,请确保 Cloud Manager Connector 具有以下权限:

"Microsoft.Compute/diskEncryptionSets/read"
"Microsoft.Compute/diskEncryptionSets/write",
"Microsoft.Compute/diskEncryptionSets/delete"
"Microsoft.KeyVault/vaults/deploy/action",
"Microsoft.KeyVault/vaults/read",
"Microsoft.KeyVault/vaults/accessPolicies/write"

您可以在上找到最新的权限列表 "Cloud Manager 策略页面"

HA 对不需要这些权限。

步骤
  1. 使用以下 Cloud Manager API 调用获取 Azure 订阅中的密钥存储列表。

    对于 HA 对: get /azure/ha/metadata/vaults

    对于单个节点: get /azure/vsa/metadata/vaults

    记下 * 名称 * 和 * 资源组 * 。您需要在下一步中指定这些值。

  2. 使用以下 Cloud Manager API 调用获取存储中的密钥列表。

    对于 HA 对: get /azure/ha/metadata/keys-vault

    对于单个节点: get /azure/vsa/metadata/keys-vault

    记下 * 密钥名称 * 。您需要在下一步中指定该值(以及存储名称)。

  3. 使用以下 Cloud Manager API 调用创建 Cloud Volumes ONTAP 系统。

    1. 对于 HA 对:

      发布 /azure/ha/cluster-environments

      请求正文必须包含以下字段:

      "azureEncryptionParameters": {
             "key": "keyName",
             "vaultName": "vaultName"
      }
    2. 对于单节点系统:

      发布 /azure/vsa/cluster-environments

      请求正文必须包含以下字段:

    "azureEncryptionParameters": {
           "key": "keyName",
           "vaultName": "vaultName"
    }

您有一个新的 Cloud Volumes ONTAP 系统,该系统配置为使用客户管理的密钥进行数据加密。