本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

設定Cloud Volumes ONTAP 支援使用Azure中客戶管理的金鑰

資料會使用在Cloud Volumes ONTAP Azure中的功能自動加密 "Azure 儲存服務加密" 使用Microsoft管理的金鑰。但您可以改用自己的加密金鑰、只要執行本頁的步驟即可。

資料加密總覽

Azure中的資料會使用自動加密Cloud Volumes ONTAP "Azure 儲存服務加密"。預設實作使用Microsoft管理的金鑰。無需設定。

如果您想要使用客戶管理的支援服務金鑰Cloud Volumes ONTAP 搭配使用、則必須完成下列步驟:

  1. 從Azure建立金鑰保存庫、然後在該保存庫中產生金鑰

  2. 在Cloud Manager中、使用API建立Cloud Volumes ONTAP 一個使用金鑰的功能不全的環境

金鑰旋轉

如果您建立新版的金鑰、Cloud Volumes ONTAP 則更新版本會自動使用最新的金鑰版本。

資料加密方式

建立Cloud Volumes ONTAP 一個設定為使用客戶管理金鑰的功能完善的支援環境之後Cloud Volumes ONTAP 、即可將下列資料加密。

HA 配對
  • 所有的Azure儲存帳戶Cloud Volumes ONTAP 均使用客戶管理的金鑰進行加密。

  • 任何新的儲存帳戶(例如新增磁碟或集合體時)也會使用相同的金鑰。

單一節點
  • 所有的Azure儲存帳戶Cloud Volumes ONTAP 均使用客戶管理的金鑰進行加密。

  • 對於根磁碟、開機磁碟和資料磁碟、Cloud Manager使用 "磁碟加密集",可透過託管磁碟管理加密金鑰。

  • 任何新的資料磁碟也會使用相同的磁碟加密集。

  • NVRAM和核心磁碟是使用Microsoft管理的金鑰來加密、而非使用客戶管理的金鑰。

建立金鑰保存庫並產生金鑰

金鑰庫必須位於您計畫建立Cloud Volumes ONTAP 此系統的同一個Azure訂閱和地區。

步驟
  1. "在您的Azure訂閱中建立金鑰庫"

    請注意金鑰庫的下列需求:

    • 金鑰保存庫必須與Cloud Volumes ONTAP 該系統位於相同的區域。

    • 應啟用下列選項:

      • 軟刪除(此選項預設為啟用、但不可停用)

      • 清除保護

      • * Azure磁碟加密、適用於Volume加密*(Cloud Volumes ONTAP 僅適用於單一節點的整套系統)

  2. "在金鑰保存庫中產生金鑰"

    請注意金鑰的下列需求:

    • 金鑰類型必須為* RSA*。

    • 建議的RSA金鑰大小為* 2048*、但支援其他大小。

建立使用加密金鑰的工作環境

建立金鑰庫並產生加密金鑰之後、您可以建立Cloud Volumes ONTAP 新的、設定為使用金鑰的整套系統。使用Cloud Manager API可支援這些步驟。

如果您想要將客戶管理的金鑰與單一節點Cloud Volumes ONTAP 的作業系統搭配使用、請確定Cloud Manager Connector具有下列權限:

"Microsoft.Compute/diskEncryptionSets/read"
"Microsoft.Compute/diskEncryptionSets/write",
"Microsoft.Compute/diskEncryptionSets/delete"
"Microsoft.KeyVault/vaults/deploy/action",
"Microsoft.KeyVault/vaults/read",
"Microsoft.KeyVault/vaults/accessPolicies/write"

您可以在上找到最新的權限清單 "Cloud Manager 原則頁面"

附註 HA配對不需要前三個權限。
步驟
  1. 請使用下列Cloud Manager API呼叫、取得Azure訂閱中的金鑰保存清單。

    對於HA配對:「Get /azure/ha/mata/Vault」

    對於單一節點:「Get /azure/VSA/中繼資料/資料保存」

    請記下*名稱*和*資源群組*。您需要在下一步中指定這些值。

  2. 使用下列Cloud Manager API呼叫、取得資料保險箱內的金鑰清單。

    對於HA配對:「Get /azure/ha/matmata/keys/Vault」

    對於單一節點:「Get /azure/VSA/中繼資料/金鑰庫」

    請記下*金鑰名稱*。您需要在下一步中指定該值(連同資料保險箱名稱)。

  3. 使用Cloud Volumes ONTAP 下列Cloud Manager API呼叫建立一套系統。

    1. 對於HA配對:

      「POST /azure/ha/辦公 環境」

      申請本文必須包含下列欄位:

      "azureEncryptionParameters": {
             "key": "keyName",
             "vaultName": "vaultName"
      }
    2. 對於單一節點系統:

      「POST /azure/VSA/工作環境」

      申請本文必須包含下列欄位:

    "azureEncryptionParameters": {
           "key": "keyName",
           "vaultName": "vaultName"
    }

您有一個Cloud Volumes ONTAP 全新的支援系統、可設定使用客戶管理的金鑰進行資料加密。