简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

设置 AWS KMS

提供者 netapp-bcammett 下载此页面的 PDF

如果要在 Cloud Volumes ONTAP 中使用 Amazon 加密,则需要设置 AWS 密钥管理服务( KMS )。

步骤
  1. 确保存在有效的客户主密钥( CMK )。

    CMK 可以是 AWS 管理的 CMK 或客户管理的 CMK 。它可以与 Cloud Manager 和 Cloud Volumes ONTAP 位于同一个 AWS 帐户中,也可以位于不同的 AWS 帐户中。

  2. 通过添加 IAM 角色来修改每个 CMK 的密钥策略,该角色以 key user_ 的身份为 Cloud Manager 提供权限。

    将 IAM 角色添加为密钥用户可为 Cloud Manager 提供在 Cloud Volumes ONTAP 中使用 CMK 的权限。

  3. 如果 CMK 位于其他 AWS 帐户中,请完成以下步骤:

    1. 从 CMK 所在的帐户转到 KMS 控制台。

    2. 选择密钥。

    3. 在 * 常规配置 * 窗格中,复制密钥的 ARN 。

      创建 Cloud Volumes ONTAP 系统时,您需要为 Cloud Manager 提供 ARN 。

    4. 在 * 其他 AWS 帐户 * 窗格中,添加为 Cloud Manager 提供权限的 AWS 帐户。

      在大多数情况下,这是 Cloud Manager 所在的帐户。如果 Cloud Manager 未安装在 AWS 中,则您会为其提供 Cloud Manager 的 AWS 访问密钥。

      此屏幕截图显示了 AWS KMS 控制台中的 " 添加其他 AWS 帐户 " 按钮。

      此屏幕截图显示了 AWS KMS 控制台中的 " 其他 AWS 帐户 " 对话框。

    5. 现在,切换到为 Cloud Manager 提供权限的 AWS 帐户,然后打开 IAM 控制台。

    6. 创建一个包含以下权限的 IAM 策略。

    7. 将策略附加到为 Cloud Manager 提供权限的 IAM 角色或 IAM 用户。

      以下策略提供了 Cloud Manager 从外部 AWS 帐户使用 CMK 所需的权限。请务必在 " 资源 " 部分中修改区域和帐户 ID 。

    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Sid": "AllowUseOfTheKey",
                "Effect": "Allow",
                "Action": [
                    "kms:Encrypt",
                    "kms:Decrypt",
                    "kms:ReEncrypt*",
                    "kms:GenerateDataKey*",
                    "kms:DescribeKey"
                ],
                "Resource": [
                    "arn:aws:kms:us-east-1:externalaccountid:key/externalkeyid"
                ]
            },
            {
                "Sid": "AllowAttachmentOfPersistentResources",
                "Effect": "Allow",
                "Action": [
                    "kms:CreateGrant",
                    "kms:ListGrants",
                    "kms:RevokeGrant"
                ],
                "Resource": [
                    "arn:aws:kms:us-east-1:externalaccountid:key/externalaccountid"
                ],
                "Condition": {
                    "Bool": {
                        "kms:GrantIsForAWSResource": true
                    }
                }
            }
        ]
    }

    +
    有关此过程的其他详细信息,请参见 "AWS 文档:允许外部 AWS 帐户访问 CMK"

  4. 如果您使用的是客户管理的 Cloud Volumes ONTAP ,请通过将 CMK 的 IAM 角色添加为 _key user_来 修改 CMK 的密钥策略。

    如果您在 Cloud Volumes ONTAP 上启用了数据分层并希望对存储在 S3 存储分段中的数据进行加密,则需要执行此步骤。

    部署 Cloud Volumes ONTAP 后,您需要执行此步骤,因为 IAM 角色是在创建工作环境时创建的。(当然,您可以选择使用现有的 Cloud Volumes ONTAP IAM 角色,因此可以先执行此步骤。)