Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

通过云提供商管理ONTAP数据 SVM 的 NVE 密钥

贡献者 netapp-ahibbard netapp-aaron-holt netapp-bhouser netapp-dbagwell netapp-lenida netapp-thomi
PDF

从ONTAP 9.10.1开始、您可以在云托管应用程序中使用"Azure 密钥存储( AKV )""Google Cloud Platform 的密钥管理服务( Cloud KMS )"保护ONTAP加密密钥。从ONTAP 9.12.0开始,您还可以使用保护NVE密钥"AWS的KMS"

AWS KMS、AKV和Cloud KMS可用于保护 "NetApp 卷加密( NVE )密钥" 仅适用于数据SVM。

关于此任务

可以使用命令行界面或ONTAP REST API启用云提供程序的密钥管理。

在使用云提供商保护密钥时、请注意、默认情况下、数据SVM LIF用于与云密钥管理端点进行通信。节点管理网络用于与云提供商的身份验证服务进行通信(适用于 Azure 的 login.microsoftonline.com ;适用于 Cloud KMS 的 oauth2.googleapis.com )。如果集群网络配置不正确、集群将无法正确使用密钥管理服务。

在使用云提供商密钥管理服务时、您应注意以下限制:

  • 云提供商密钥管理不适用于NetApp存储加密(NSE)和NetApp聚合加密(NAE)。 "外部 KMIP" 可以改为使用。

  • 云提供商密钥管理不适用于MetroCluster配置。

  • 只能在数据SVM上配置云提供程序密钥管理。

开始之前

启用外部密钥管理

启用外部密钥管理取决于您使用的特定密钥管理器。选择相应密钥管理器和环境的选项卡。

AWS
开始之前

  • 您必须为管理加密的IAM角色要使用的AWS KMS密钥创建授权。IAM角色必须包含一个允许执行以下操作的策略:

    • DescribeKey

    • Encrypt

    • Decrypt

      有关详细信息、请参见的AWS文档 "赠款"

在ONTAP SVM上启用AWS KMV

  1. 开始之前、请从AWS KMS获取访问密钥ID和机密密钥。

  2. 将权限级别设置为高级: set -priv advanced

  3. 启用AWS KMS: security key-manager external aws enable -vserver svm_name -region AWS_region -key-id key_ID -encryption-context encryption_context

  4. 出现提示时、输入机密密钥。

  5. 确认已正确配置AWS KMS: security key-manager external aws show -vserver svm_name

    有关的详细信息 security key-manager external aws,请参见"ONTAP 命令参考"

Azure 酒店
在ONTAP SVM上启用Azure密钥存储

  1. 开始之前,您需要从 Azure 帐户获取适当的身份验证凭据,即客户端密钥或证书。此外,还必须确保集群中的所有节点运行状况良好。您可以使用命令来检查此情况 cluster show。有关的详细信息 cluster show,请参见"ONTAP 命令参考"

  2. 将权限级别设置为高级 set -priv advanced

  3. 在SVM上启用AKV security key-manager external azure enable -client-id client_id -tenant-id tenant_id -name -key-id key_id -authentication-method {certificate|client-secret} 出现提示时,输入 Azure 帐户的客户端证书或客户端密钥。

  4. 验证是否已正确启用AKV: security key-manager external azure show vserver svm_name 如果服务可访问性不正常、请通过数据SVM LIF建立与AKV密钥管理服务的连接。

    有关的详细信息 security key-manager external azure,请参见"ONTAP 命令参考"

Google Cloud
在ONTAP SVM上启用云KMS

  1. 开始之前、请以JSON格式获取Google Cloud KMS帐户密钥文件的专用密钥。您可以在 GCP 帐户中找到此信息。此外,还必须确保集群中的所有节点运行状况良好。您可以使用命令来检查此情况 cluster show。有关的详细信息 cluster show,请参见"ONTAP 命令参考"

  2. 将权限级别设置为高级: set -priv advanced

  3. 在SVM上启用Cloud KMS security key-manager external gcp enable -vserver svm_name -project-id project_id-key-ring-name key_ring_name -key-ring-location key_ring_location -key-name key_name 出现提示时,使用服务帐户专用密钥输入 JSON 文件的内容

  4. 验证Cloud KMS是否配置了正确的参数: security key-manager external gcp show vserver svm_name 的状态 kms_wrapped_key_status 将是 “UNKNOWN” 如果尚未创建加密卷。 如果服务可访问性不正常、请通过数据SVM LIF与GCP密钥管理服务建立连接。

    有关的详细信息 security key-manager external gcp,请参见"ONTAP 命令参考"

如果已为数据SVM配置一个或多个加密卷、并且相应的NVE密钥由管理SVM板载密钥管理器管理、则这些密钥应迁移到外部密钥管理服务。要使用命令行界面执行此操作、请运行以下命令: security key-manager key migrate -from-Vserver admin_SVM -to-Vserver data_SVM 只有在成功迁移数据SVM的所有NVE密钥之后、才能为租户的数据SVM创建新的加密卷。

相关信息