Skip to main content
Cloud Volumes ONTAP
所有雲端供應商
  • Amazon Web Services
  • Google Cloud
  • Microsoft Azure
  • 所有雲端供應商
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

設定 AWS KMS

貢獻者

如果您想搭配 Cloud Volumes ONTAP 使用 Amazon 加密搭配使用、則需要設定 AWS 金鑰管理服務( KMS )。

步驟
  1. 確認存在作用中的客戶主金鑰( CMK )。

    CMK 可以是 AWS 託管的 CMK 、也可以是客戶託管的 CMK 。它可以與BlueXP和Cloud Volumes ONTAP Sfor相同的AWS帳戶、也可以位於不同的AWS帳戶中。

  2. 新增IAM角色、將權限提供給BlueXP做為_key使用者_、以修改每個CMK的金鑰原則。

    將IAM角色新增為主要使用者後、即可讓BlueXP擁有權限、可搭配Cloud Volumes ONTAP 使用CMK搭配使用。

  3. 如果 CMK 位於不同的 AWS 帳戶、請完成下列步驟:

    1. 從 CMK 所在的帳戶移至 KMS 主控台。

    2. 選取金鑰。

    3. 在「 * 一般組態 * 」窗格中、複製金鑰的 ARN 。

      建立Cloud Volumes ONTAP 一套系統時、您必須提供ARN給BlueXP。

    4. 在*其他AWS帳戶*窗格中、新增提供BlueXP權限的AWS帳戶。

      在大多數情況下、這是BlueXP所在的帳戶。如果AWS中未安裝BlueXP、您將會為其提供AWS存取金鑰給BlueXP。

      此螢幕快照顯示 AWS KMS 主控台的「新增其他 AWS 帳戶」按鈕。

      此螢幕快照顯示 AWS KMS 主控台的「其他 AWS 帳戶」對話方塊。

    5. 現在請切換至AWS帳戶、該帳戶可為BlueXP提供權限、並開啟IAM主控台。

    6. 建立包含下列權限的 IAM 原則。

    7. 將原則附加至IAM角色或IAM使用者、以提供對BlueXP的權限。

      下列原則提供BlueXP從外部AWS帳戶使用CMK所需的權限。請務必修改「資源」區段中的區域和帳戶 ID 。

    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Sid": "AllowUseOfTheKey",
                "Effect": "Allow",
                "Action": [
                    "kms:Encrypt",
                    "kms:Decrypt",
                    "kms:ReEncrypt*",
                    "kms:GenerateDataKey*",
                    "kms:DescribeKey"
                ],
                "Resource": [
                    "arn:aws:kms:us-east-1:externalaccountid:key/externalkeyid"
                ]
            },
            {
                "Sid": "AllowAttachmentOfPersistentResources",
                "Effect": "Allow",
                "Action": [
                    "kms:CreateGrant",
                    "kms:ListGrants",
                    "kms:RevokeGrant"
                ],
                "Resource": [
                    "arn:aws:kms:us-east-1:externalaccountid:key/externalaccountid"
                ],
                "Condition": {
                    "Bool": {
                        "kms:GrantIsForAWSResource": true
                    }
                }
            }
        ]
    }

    +
    如需此程序的其他詳細資料、請參閱 "AWS文件:允許其他帳戶的使用者使用KMS金鑰"

  4. 如果您使用由客戶管理的CMK、請將Cloud Volumes ONTAP 「IAM角色」新增為「_key使用者」、以修改CMK的金鑰原則。

    如果您在Cloud Volumes ONTAP 支援資料分層的情況下、想要加密儲存在S3儲存區中的資料、就必須執行此步驟。

    您需要在部署Cloud Volumes ONTAP 完時執行此步驟_after、因為IAM角色是在您建立工作環境時建立的。(當然、您可以選擇使用現有Cloud Volumes ONTAP 的ISIAM角色、因此可以在之前執行此步驟。)