Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

通过云提供商管理密钥

贡献者
PDF

从 ONTAP 9.10.1 开始,您可以使用 "Azure 密钥存储( AKV )""Google Cloud Platform 的密钥管理服务( Cloud KMS )" 保护云托管应用程序中的ONTAP加密密钥。从ONTAP 9.12.0开始、您还可以使用保护NVE密钥 "AWS的KMS"

AWS KMS、AKV和Cloud KMS可用于保护 "NetApp 卷加密( NVE )密钥" 仅适用于数据SVM。

关于此任务

可以使用命令行界面或ONTAP REST API启用云提供程序的密钥管理。

在使用云提供商保护密钥时、请注意、默认情况下、数据SVM LIF用于与云密钥管理端点进行通信。节点管理网络用于与云提供商的身份验证服务进行通信(适用于 Azure 的 login.microsoftonline.com ;适用于 Cloud KMS 的 oauth2.googleapis.com )。如果集群网络配置不正确,集群将无法正确利用密钥管理服务。

在使用云提供商密钥管理服务时、您应注意以下限制:

  • 云提供商密钥管理不适用于NetApp存储加密(NSE)和NetApp聚合加密(NAE)。 "外部 KMIP" 可以改为使用。

  • 云提供商密钥管理不适用于MetroCluster配置。

  • 只能在数据SVM上配置云提供程序密钥管理。

开始之前

启用外部密钥管理

启用外部密钥管理取决于您使用的特定密钥管理器。选择相应密钥管理器和环境的选项卡。

AWS
开始之前

  • 您必须为管理加密的IAM角色要使用的AWS KMS密钥创建授权。IAM角色必须包含一个允许执行以下操作的策略:

    • DescribeKey

    • Encrypt

    • Decrypt

      有关详细信息、请参见的AWS文档 "赠款"

在ONTAP SVM上启用AWS KMV

  1. 开始之前、请从AWS KMS获取访问密钥ID和机密密钥。

  2. 将权限级别设置为高级:
    set -priv advanced

  3. 启用AWS KMS:
    security key-manager external aws enable -vserver svm_name -region AWS_region -key-id key_ID -encryption-context encryption_context

  4. 出现提示时、输入机密密钥。

  5. 确认已正确配置AWS KMS:
    security key-manager external aws show -vserver svm_name

Azure 酒店
在ONTAP SVM上启用Azure密钥存储

  1. 开始之前,您需要从 Azure 帐户获取适当的身份验证凭据,即客户端密钥或证书。
    此外,还必须确保集群中的所有节点运行状况良好。您可以使用命令来检查此情况 cluster show

  2. 将权限级别设置为高级
    set -priv advanced

  3. 在SVM上启用AKV
    security key-manager external azure enable -client-id client_id -tenant-id tenant_id -name -key-id key_id -authentication-method {certificate|client-secret}
    出现提示时,输入 Azure 帐户的客户端证书或客户端密钥。

  4. 验证是否已正确启用AKV:
    security key-manager external azure show vserver svm_name
    如果服务可访问性不正常、请通过数据SVM LIF建立与AKV密钥管理服务的连接。

Google Cloud
在ONTAP SVM上启用云KMS

  1. 开始之前、请以JSON格式获取Google Cloud KMS帐户密钥文件的专用密钥。您可以在 GCP 帐户中找到此信息。
    此外,还必须确保集群中的所有节点运行状况良好。您可以使用命令来检查此情况 cluster show

  2. 将权限级别设置为高级:
    set -priv advanced

  3. 在SVM上启用Cloud KMS
    security key-manager external gcp enable -vserver svm_name -project-id project_id-key-ring-name key_ring_name -key-ring-location key_ring_location -key-name key_name
    出现提示时,使用服务帐户专用密钥输入 JSON 文件的内容

  4. 验证Cloud KMS是否配置了正确的参数:
    security key-manager external gcp show vserver svm_name
    的状态 kms_wrapped_key_status 将是 “UNKNOWN” 如果尚未创建加密卷。
    如果服务可访问性不正常、请通过数据SVM LIF与GCP密钥管理服务建立连接。

如果已为数据SVM配置一个或多个加密卷、并且相应的NVE密钥由管理SVM板载密钥管理器管理、则这些密钥应迁移到外部密钥管理服务。要使用命令行界面执行此操作、请运行以下命令:
security key-manager key migrate -from-Vserver admin_SVM -to-Vserver data_SVM
只有在成功迁移数据SVM的所有NVE密钥之后、才能为租户的数据SVM创建新的加密卷。

相关信息