利用Google的雲端金鑰管理服務來管理金鑰
建議變更
PDF
您可以使用 "Google Cloud Platform的金鑰管理服務(雲端KMS)" 在ONTAP Google Cloud Platform部署的應用程式中保護您的不加密金鑰。
您可以使用 ONTAP CLI 或 ONTAP REST API 來啟用雲端 KMS 的金鑰管理。
使用 Cloud KMS 時、請注意、根據預設、會使用 Data SVM 的 LIF 與雲端金鑰管理端點通訊。節點管理網路用於與雲端供應商的驗證服務(oauth2.googleapis.com)進行通訊。如果叢集網路設定不正確、叢集將無法正確使用金鑰管理服務。
-
必須執行9.10.1版或更新版本Cloud Volumes ONTAP
-
已安裝Volume Encryption(VE)授權
-
安裝多租戶加密金鑰管理(MTEKM)授權、從Cloud Volumes ONTAP 版本號為E59.12.1 GA開始。
-
您必須是叢集或SVM管理員
-
現用Google Cloud Platform訂閱
-
雲端KMS只能在資料SVM上設定
組態
-
在您的Google Cloud環境中、 "建立對稱的GCP金鑰環和金鑰"。
-
為Cloud Volumes ONTAP 您的服務帳戶建立自訂角色。
gcloud iam roles create kmsCustomRole --project=<project_id> --title=<kms_custom_role_name> --description=<custom_role_description> --permissions=cloudkms.cryptoKeyVersions.get,cloudkms.cryptoKeyVersions.list,cloudkms.cryptoKeyVersions.useToDecrypt,cloudkms.cryptoKeyVersions.useToEncrypt,cloudkms.cryptoKeys.get,cloudkms.keyRings.get,cloudkms.locations.get,cloudkms.locations.list,resourcemanager.projects.get --stage=GA -
將自訂角色指派給Cloud KMS金鑰與Cloud Volumes ONTAP 更新服務帳戶:「gCloud kms金鑰add-iam-policy-binding key_name-keyring key_ring_name-location -member ServiceAccount:_service_Account_Name-role專案/customer_project _id/ros/ros/kmsCustomrole」
-
下載服務帳戶Json金鑰:「gCloud iam服務帳戶金鑰可建立金鑰檔案-iam-account=sa-name@project-id.iam.gserviceaccount.com」
-
使用您偏好的SSH用戶端連線至叢集管理LIF。
-
切換至進階權限等級:「et -priv榮幸 進階」
-
為資料SVM建立DNS。「建立網域C_<project >_.internal -name-servers server_address-vserver Svm_name」
-
建立CMEK項目:「安全金鑰管理程式外部GCP啟用-vserver Svm_name-project -id project _-key-ring_name _key_ring_name-key-ring_location key_ring_stip-key-name key_name」
-
出現提示時、請從GCP帳戶輸入服務帳戶Json金鑰。
-
確認啟用的程序成功:「安全金鑰管理程式外部GCP檢查-vserver svm_name」
-
選用:建立磁碟區以測試加密「volvol create volvolvole_name-Aggregate Aggregate _-vserver _vserver_name-size 10G」
疑難排解
如果您需要疑難排解、可以跳接上述最後兩個步驟中的原始REST API記錄:
-
"以d為準"
-
"ystemShell -node_node_-command tail -f /mroot/etc/log/mlog/kmip2_client.log"