設定 AWS KMS
建議變更
PDF
如果您想搭配 Cloud Volumes ONTAP 使用 Amazon 加密搭配使用、則需要設定 AWS 金鑰管理服務( KMS )。
-
確認存在作用中的客戶主金鑰( CMK )。
CMK 可以是 AWS 託管的 CMK 、也可以是客戶託管的 CMK 。它可以與BlueXP和Cloud Volumes ONTAP Sfor相同的AWS帳戶、也可以位於不同的AWS帳戶中。
-
新增IAM角色、將權限提供給BlueXP做為_key使用者_、以修改每個CMK的金鑰原則。
將IAM角色新增為主要使用者後、即可讓BlueXP擁有權限、可搭配Cloud Volumes ONTAP 使用CMK搭配使用。
-
如果 CMK 位於不同的 AWS 帳戶、請完成下列步驟:
-
從 CMK 所在的帳戶移至 KMS 主控台。
-
選取金鑰。
-
在「 * 一般組態 * 」窗格中、複製金鑰的 ARN 。
建立Cloud Volumes ONTAP 一套系統時、您必須提供ARN給BlueXP。
-
在*其他AWS帳戶*窗格中、新增提供BlueXP權限的AWS帳戶。
在大多數情況下、這是BlueXP所在的帳戶。如果AWS中未安裝BlueXP、您將會為其提供AWS存取金鑰給BlueXP。
-
現在請切換至AWS帳戶、該帳戶可為BlueXP提供權限、並開啟IAM主控台。
-
建立包含下列權限的 IAM 原則。
-
將原則附加至IAM角色或IAM使用者、以提供對BlueXP的權限。
下列原則提供BlueXP從外部AWS帳戶使用CMK所需的權限。請務必修改「資源」區段中的區域和帳戶 ID 。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowUseOfTheKey", "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:us-east-1:externalaccountid:key/externalkeyid" ] }, { "Sid": "AllowAttachmentOfPersistentResources", "Effect": "Allow", "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": [ "arn:aws:kms:us-east-1:externalaccountid:key/externalaccountid" ], "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ] }+
如需此程序的其他詳細資訊,請參閱 "AWS文件:允許其他帳戶的使用者使用KMS金鑰"。 -
-
如果您使用由客戶管理的CMK、請將Cloud Volumes ONTAP 「IAM角色」新增為「_key使用者」、以修改CMK的金鑰原則。
如果您在Cloud Volumes ONTAP 支援資料分層的情況下、想要加密儲存在S3儲存區中的資料、就必須執行此步驟。
您需要在部署Cloud Volumes ONTAP 完時執行此步驟_after、因為IAM角色是在您建立工作環境時建立的。(當然、您可以選擇使用現有Cloud Volumes ONTAP 的ISIAM角色、因此可以在之前執行此步驟。)