本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

利用Google的雲端金鑰管理服務來管理金鑰

貢獻者

您可以使用 "Google Cloud Platform的金鑰管理服務(雲端KMS)" 在ONTAP Google Cloud Platform部署的應用程式中保護您的不加密金鑰。

雲端KMS的金鑰管理可透過CLI或ONTAP REST API啟用。

使用Cloud KMS時、請注意、預設會使用資料SVM LIF與雲端金鑰管理端點進行通訊。節點管理網路用於與雲端供應商的驗證服務(oauth2.googleapis.com)進行通訊。如果叢集網路設定不正確、叢集將無法正確使用金鑰管理服務。

先決條件
  • 必須執行9.10.1版或更新版本Cloud Volumes ONTAP

  • 已安裝Volume Encryption(VE)授權

  • 已安裝多租戶加密金鑰管理(MTEKM)授權

  • 您必須是叢集或SVM管理員

  • 現用Google Cloud Platform訂閱

限制
  • 雲端KMS只能在資料SVM上設定

組態

Google Cloud
  1. 在您的Google Cloud環境中、 "建立對稱的GCP金鑰環和金鑰"

  2. 為Cloud Volumes ONTAP 您的服務帳戶建立自訂角色。

    gcloud iam roles create kmsCustomRole
        --project=<project_id>
        --title=<kms_custom_role_name>
        --description=<custom_role_description>
        --permissions=cloudkms.cryptoKeyVersions.get,cloudkms.cryptoKeyVersions.list,cloudkms.cryptoKeyVersions.useToDecrypt,cloudkms.cryptoKeyVersions.useToEncrypt,cloudkms.cryptoKeys.get,cloudkms.keyRings.get,cloudkms.locations.get,cloudkms.locations.list,resourcemanager.projects.get
        --stage=GA
  3. 將自訂角色指派給Cloud KMS金鑰與Cloud Volumes ONTAP 更新服務帳戶:「gCloud kms金鑰add-iam-policy-binding key_name-keyring key_ring_name-location -member ServiceAccount:_service_Account_Name-role專案/customer_project _id/ros/ros/kmsCustomrole」

  4. 下載服務帳戶Json金鑰:「gCloud iam服務帳戶金鑰可建立金鑰檔案-iam-account=sa-name@project-id.iam.gserviceaccount.com」

Cloud Volumes ONTAP
  1. 使用您偏好的SSH用戶端連線至叢集管理LIF。

  2. 切換至進階權限等級:「et -priv榮幸 進階」

  3. 為資料SVM建立DNS。「建立網域C_<project >_.internal -name-servers server_address-vserver Svm_name

  4. 建立CMEK項目:「安全金鑰管理程式外部GCP啟用-vserver Svm_name-project -id project _-key-ring_name _key_ring_name-key-ring_location key_ring_stip-key-name key_name

  5. 出現提示時、請從GCP帳戶輸入服務帳戶Json金鑰。

  6. 確認啟用的程序成功:「安全金鑰管理程式外部GCP檢查-vserver svm_name

  7. 選用:建立磁碟區以測試加密「volvol create volvolvole_name-Aggregate Aggregate _-vserver _vserver_name-size 10G」

疑難排解

如果您需要疑難排解、可以跳接上述最後兩個步驟中的原始REST API記錄:

  1. "以d為準"

  2. "ystemShell -node_node_-command tail -f /mroot/etc/log/mlog/kmip2_client.log"