Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

使用雲端供應商管理金鑰

貢獻者
PDF

從功能性的9.10.1開始ONTAP 、您就可以開始使用 "Azure Key Vault(AKV)""Google Cloud Platform的金鑰管理服務(雲端KMS)" 保護雲端代管應用程式中的 ONTAP 加密金鑰。從 ONTAP 9.12.0 開始、您也可以使用來保護 NVE 金鑰 "AWS 的 KMS"

AWS KMS 、 AKV 和 Cloud KMS 可用於保護 "NetApp Volume Encryption(NVE)金鑰" 僅適用於資料SVM。

關於這項工作

您可以使用 CLI 或 ONTAP REST API 來啟用雲端供應商的金鑰管理。

使用雲端供應商保護金鑰時、請注意、根據預設、資料 SVM LIF 會用於與雲端金鑰管理端點通訊。節點管理網路用於與雲端供應商的驗證服務(login.microsoftonline.com for Azure;oauth2.googleapis.com for Cloud KMS)進行通訊。如果叢集網路設定不正確、叢集將無法正確使用金鑰管理服務。

使用雲端供應商金鑰管理服務時、您應注意下列限制:

  • 雲端供應商金鑰管理不適用於 NetApp 儲存加密( NSE )和 NetApp Aggregate Encryption ( NAE )。 "外部KMIP" 可以改用。

  • 雲端供應商金鑰管理不適用於 MetroCluster 組態。

  • 雲端供應商金鑰管理只能在資料 SVM 上設定。

開始之前

啟用外部金鑰管理

啟用外部金鑰管理取決於您使用的特定金鑰管理程式。選擇適當的金鑰管理程式和環境標籤。

AWS
開始之前

  • 您必須為 AWS KMS 金鑰建立授權、以便由管理加密的 IAM 角色使用。IAM 角色必須包含允許下列作業的原則:

    • DescribeKey

    • Encrypt

    • Decrypt

      如需詳細資訊、請參閱 AWS 文件 "補助"

在 ONTAP SVM 上啟用 AWS KMV

  1. 開始之前、請先從 AWS KMS 取得存取金鑰 ID 和秘密金鑰。

  2. 將權限層級設為進階:
    set -priv advanced

  3. 啟用 AWS KMS :
    security key-manager external aws enable -vserver svm_name -region AWS_region -key-id key_ID -encryption-context encryption_context

  4. 出現提示時、請輸入秘密金鑰。

  5. 確認 AWS KMS 已正確設定:
    security key-manager external aws show -vserver svm_name

Azure
在 ONTAP SVM 上啟用 Azure Key Vault

  1. 開始之前、您必須先從Azure帳戶取得適當的驗證認證資料、包括用戶端機密或憑證。
    您也必須確保叢集中的所有節點都正常運作。您可以使用命令來檢查 cluster show

  2. 將權限層級設為進階
    set -priv advanced

  3. 在 SVM 上啟用 AKV
    security key-manager external azure enable -client-id client_id -tenant-id tenant_id -name -key-id key_id -authentication-method {certificate|client-secret}
    出現提示時、請輸入 Azure 帳戶的用戶端憑證或用戶端機密。

  4. 確認 AKV 已正確啟用:
    security key-manager external azure show vserver svm_name
    如果服務連線能力不正常、請透過資料 SVM LIF 建立與 AKV 金鑰管理服務的連線。

Google Cloud
在 ONTAP SVM 上啟用雲端 KMS

  1. 開始之前、請先以 JSON 格式取得 Google Cloud KMS 帳戶金鑰檔案的私密金鑰。您可以在GCP帳戶中找到這項資訊。
    您也必須確保叢集中的所有節點都正常運作。您可以使用命令來檢查 cluster show

  2. 將權限等級設為進階:
    set -priv advanced

  3. 在 SVM 上啟用 Cloud KMS
    security key-manager external gcp enable -vserver svm_name -project-id project_id-key-ring-name key_ring_name -key-ring-location key_ring_location -key-name key_name
    出現提示時、請使用服務帳戶私密金鑰輸入 JSON 檔案的內容

  4. 確認 Cloud KMS 已設定正確的參數:
    security key-manager external gcp show vserver svm_name
    狀態 kms_wrapped_key_status 將會是 “UNKNOWN” 如果尚未建立加密磁碟區、
    如果服務連線能力不正常、請透過資料SVM LIF建立與GCP金鑰管理服務的連線。

如果已為資料SVM設定一或多個加密磁碟區、且對應的NVE金鑰由管理SVM內建金鑰管理程式管理、則這些金鑰應移轉至外部金鑰管理服務。若要使用 CLI 執行此作業、請執行命令:
security key-manager key migrate -from-Vserver admin_SVM -to-Vserver data_SVM
在成功移轉資料 SVM 的所有 NVE 金鑰之前、無法為租戶的資料 SVM 建立新的加密磁碟區。

相關資訊