本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

設定 AWS KMS

如果您想搭配 Cloud Volumes ONTAP 使用 Amazon 加密搭配使用、則需要設定 AWS 金鑰管理服務( KMS )。

步驟
  1. 確認存在作用中的客戶主金鑰( CMK )。

    CMK 可以是 AWS 託管的 CMK 、也可以是客戶託管的 CMK 。它可以與 Cloud Manager 及 Cloud Volumes ONTAP 其他 AWS 帳戶位於相同的 AWS 帳戶中、也可以位於不同的 AWS 帳戶中。

  2. 將 IAM 角色新增為 Cloud Manager 提供權限、做為 _key 使用者 _ 、以修改每個 CMK 的金鑰原則。

    將 IAM 角色新增為主要使用者、可讓 Cloud Manager 有權搭配 Cloud Volumes ONTAP 使用 CMK 。

  3. 如果 CMK 位於不同的 AWS 帳戶、請完成下列步驟:

    1. 從 CMK 所在的帳戶移至 KMS 主控台。

    2. 選取金鑰。

    3. 在「 * 一般組態 * 」窗格中、複製金鑰的 ARN 。

      建立 Cloud Volumes ONTAP 一套系統時、您必須提供 ARN 給 Cloud Manager 。

    4. 在 * 其他 AWS 帳戶 * 窗格中、新增提供 Cloud Manager 權限的 AWS 帳戶。

      在大多數情況下、這是 Cloud Manager 所在的帳戶。如果 AWS 中未安裝 Cloud Manager 、則您會將 AWS 存取金鑰提供給 Cloud Manager 。

      此螢幕快照顯示 AWS KMS 主控台的「新增其他 AWS 帳戶」按鈕。

      此螢幕快照顯示 AWS KMS 主控台的「其他 AWS 帳戶」對話方塊。

    5. 現在請切換至 AWS 帳戶、該帳戶可為 Cloud Manager 提供權限、並開啟 IAM 主控台。

    6. 建立包含下列權限的 IAM 原則。

    7. 將原則附加至提供 Cloud Manager 權限的 IAM 角色或 IAM 使用者。

      下列原則提供 Cloud Manager 從外部 AWS 帳戶使用 CMK 所需的權限。請務必修改「資源」區段中的區域和帳戶 ID 。

    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Sid": "AllowUseOfTheKey",
                "Effect": "Allow",
                "Action": [
                    "kms:Encrypt",
                    "kms:Decrypt",
                    "kms:ReEncrypt*",
                    "kms:GenerateDataKey*",
                    "kms:DescribeKey"
                ],
                "Resource": [
                    "arn:aws:kms:us-east-1:externalaccountid:key/externalkeyid"
                ]
            },
            {
                "Sid": "AllowAttachmentOfPersistentResources",
                "Effect": "Allow",
                "Action": [
                    "kms:CreateGrant",
                    "kms:ListGrants",
                    "kms:RevokeGrant"
                ],
                "Resource": [
                    "arn:aws:kms:us-east-1:externalaccountid:key/externalaccountid"
                ],
                "Condition": {
                    "Bool": {
                        "kms:GrantIsForAWSResource": true
                    }
                }
            }
        ]
    }

    +
    如需此程序的其他詳細資料、請參閱 "AWS文件:允許其他帳戶的使用者使用KMS金鑰"

  4. 如果您使用由客戶管理的CMK、請將Cloud Volumes ONTAP 「IAM角色」新增為「_key使用者」、以修改CMK的金鑰原則。

    如果您在Cloud Volumes ONTAP 支援資料分層的情況下、想要加密儲存在S3儲存區中的資料、就必須執行此步驟。

    您需要在部署Cloud Volumes ONTAP 完時執行此步驟_after、因為IAM角色是在您建立工作環境時建立的。(當然、您可以選擇使用現有Cloud Volumes ONTAP 的ISIAM角色、因此可以在之前執行此步驟。)