发行说明
在ONTAP中使用云提供商管理密钥
建议更改-
本文档站点的 PDF
-
NAS 存储管理
-
单独 PDF 文档的收集
Creating your file...
从ONTAP 9.10.1开始、您可以在云托管应用程序中使用"Azure 密钥存储( AKV )"和"Google Cloud Platform 的密钥管理服务( Cloud KMS )"保护ONTAP加密密钥。从ONTAP 9.12.0开始,您还可以使用保护NVE密钥"AWS的KMS"。
AWS KMS、AKV和Cloud KMS可用于保护 "NetApp 卷加密( NVE )密钥" 仅适用于数据SVM。
可以使用命令行界面或ONTAP REST API启用云提供程序的密钥管理。
在使用云提供商保护密钥时、请注意、默认情况下、数据SVM LIF用于与云密钥管理端点进行通信。节点管理网络用于与云提供商的身份验证服务进行通信(适用于 Azure 的 login.microsoftonline.com ;适用于 Cloud KMS 的 oauth2.googleapis.com )。如果集群网络配置不正确、集群将无法正确使用密钥管理服务。
在使用云提供商密钥管理服务时、您应注意以下限制:
-
云提供商密钥管理不适用于NetApp存储加密(NSE)和NetApp聚合加密(NAE)。 "外部 KMIP" 可以改为使用。
-
云提供商密钥管理不适用于MetroCluster配置。
-
只能在数据SVM上配置云提供程序密钥管理。
-
您必须已在相应的云提供程序上配置KMS。
-
ONTAP集群的节点必须支持NVE。
-
"您必须已安装卷加密(VE)和多租户加密密钥管理(MTEKM)许可证"(英文)这些许可证包含在中"ONTAP One"。
-
您必须是集群或SVM管理员。
-
数据SVM不能包含任何加密卷、也不能使用密钥管理器。如果数据SVM包含加密卷、则必须先迁移这些卷、然后再配置KMS。
启用外部密钥管理
启用外部密钥管理取决于您使用的特定密钥管理器。选择相应密钥管理器和环境的选项卡。
-
您必须为管理加密的IAM角色要使用的AWS KMS密钥创建授权。IAM角色必须包含一个允许执行以下操作的策略:
-
DescribeKey -
Encrypt -
Decrypt有关详细信息、请参见的AWS文档 "赠款"。
-
-
开始之前、请从AWS KMS获取访问密钥ID和机密密钥。
-
将权限级别设置为高级:
set -priv advanced -
启用AWS KMS:
security key-manager external aws enable -vserver svm_name -region AWS_region -key-id key_ID -encryption-context encryption_context -
出现提示时、输入机密密钥。
-
确认已正确配置AWS KMS:
security key-manager external aws show -vserver svm_name
-
开始之前,您需要从 Azure 帐户获取适当的身份验证凭据,即客户端密钥或证书。此外,还必须确保集群中的所有节点运行状况良好。您可以使用命令来检查此情况
cluster show。有关的详细信息cluster show,请参见"ONTAP 命令参考"。 -
将权限级别设置为高级
set -priv advanced -
在SVM上启用AKV
security key-manager external azure enable -client-id client_id -tenant-id tenant_id -name -key-id key_id -authentication-method {certificate|client-secret}
出现提示时,输入 Azure 帐户的客户端证书或客户端密钥。 -
验证是否已正确启用AKV:
security key-manager external azure show vserver svm_name
如果服务可访问性不正常、请通过数据SVM LIF建立与AKV密钥管理服务的连接。
-
开始之前、请以JSON格式获取Google Cloud KMS帐户密钥文件的专用密钥。您可以在 GCP 帐户中找到此信息。此外,还必须确保集群中的所有节点运行状况良好。您可以使用命令来检查此情况
cluster show。有关的详细信息cluster show,请参见"ONTAP 命令参考"。 -
将权限级别设置为高级:
set -priv advanced -
在SVM上启用Cloud KMS
security key-manager external gcp enable -vserver svm_name -project-id project_id-key-ring-name key_ring_name -key-ring-location key_ring_location -key-name key_name
出现提示时,使用服务帐户专用密钥输入 JSON 文件的内容 -
验证Cloud KMS是否配置了正确的参数:
security key-manager external gcp show vserver svm_name
的状态kms_wrapped_key_status将是“UNKNOWN”如果尚未创建加密卷。
如果服务可访问性不正常、请通过数据SVM LIF与GCP密钥管理服务建立连接。
如果已为数据SVM配置一个或多个加密卷、并且相应的NVE密钥由管理SVM板载密钥管理器管理、则这些密钥应迁移到外部密钥管理服务。要使用命令行界面执行此操作、请运行以下命令:
security key-manager key migrate -from-Vserver admin_SVM -to-Vserver data_SVM
只有在成功迁移数据SVM的所有NVE密钥之后、才能为租户的数据SVM创建新的加密卷。
