Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

透過雲端供應商管理ONTAP資料 SVM 的 NVE 金鑰

貢獻者 netapp-ahibbard netapp-aaron-holt netapp-bhouser netapp-dbagwell netapp-lenida netapp-thomi

從 ONTAP 9.10.1 開始,您可以在雲端代管應用程式中使用"Azure Key Vault(AKV)""Google Cloud Platform的金鑰管理服務(雲端KMS)"保護 ONTAP 加密金鑰。從 ONTAP 9.12.0 開始,您也可以使用來保護 NVE 金鑰"AWS 的 KMS"

AWS KMS 、 AKV 和 Cloud KMS 可用於保護 "NetApp Volume Encryption(NVE)金鑰" 僅適用於資料SVM。

關於這項工作

您可以使用 CLI 或 ONTAP REST API 來啟用雲端供應商的金鑰管理。

使用雲端供應商保護金鑰時、請注意、根據預設、資料 SVM LIF 會用於與雲端金鑰管理端點通訊。節點管理網路用於與雲端供應商的驗證服務(login.microsoftonline.com for Azure;oauth2.googleapis.com for Cloud KMS)進行通訊。如果叢集網路未正確設定,叢集將無法正確使用金鑰管理服務。

使用雲端供應商金鑰管理服務時、您應注意下列限制:

  • 雲端供應商金鑰管理不適用於 NetApp 儲存加密( NSE )和 NetApp Aggregate Encryption ( NAE )。 "外部KMIP" 可以改用。

  • 雲端供應商金鑰管理不適用於 MetroCluster 組態。

  • 雲端供應商金鑰管理只能在資料 SVM 上設定。

開始之前

啟用外部金鑰管理

啟用外部金鑰管理取決於您使用的特定金鑰管理程式。選擇適當的金鑰管理程式和環境標籤。

AWS
開始之前
  • 您必須為 AWS KMS 金鑰建立授權、以便由管理加密的 IAM 角色使用。IAM 角色必須包含允許下列作業的原則:

    • DescribeKey

    • Encrypt

    • Decrypt

      如需詳細資訊、請參閱 AWS 文件 "補助"

在 ONTAP SVM 上啟用 AWS KMV
  1. 開始之前、請先從 AWS KMS 取得存取金鑰 ID 和秘密金鑰。

  2. 將權限層級設為進階: set -priv advanced

  3. 啟用 AWS KMS : security key-manager external aws enable -vserver svm_name -region AWS_region -key-id key_ID -encryption-context encryption_context

  4. 出現提示時、請輸入秘密金鑰。

  5. 確認 AWS KMS 已正確設定: security key-manager external aws show -vserver svm_name

    "指令參考資料ONTAP"需詳細 `security key-manager external aws`資訊,請參閱。

Azure
在 ONTAP SVM 上啟用 Azure Key Vault
  1. 開始之前、您必須先從Azure帳戶取得適當的驗證認證資料、包括用戶端機密或憑證。您也必須確保叢集中的所有節點都正常運作。您可以使用命令來檢查 cluster show。如"指令參考資料ONTAP"需詳細 `cluster show`資訊,請參閱。

  2. 將權限層級設為進階 set -priv advanced

  3. 在 SVM 上啟用 AKV security key-manager external azure enable -client-id client_id -tenant-id tenant_id -name -key-id key_id -authentication-method {certificate|client-secret} 出現提示時、請輸入 Azure 帳戶的用戶端憑證或用戶端機密。

  4. 確認 AKV 已正確啟用: security key-manager external azure show vserver svm_name 如果服務連線能力不正常、請透過資料 SVM LIF 建立與 AKV 金鑰管理服務的連線。

    "指令參考資料ONTAP"需詳細 `security key-manager external azure`資訊,請參閱。

Google Cloud
在 ONTAP SVM 上啟用雲端 KMS
  1. 開始之前、請先以 JSON 格式取得 Google Cloud KMS 帳戶金鑰檔案的私密金鑰。您可以在GCP帳戶中找到這項資訊。您也必須確保叢集中的所有節點都正常運作。您可以使用命令來檢查 cluster show。如"指令參考資料ONTAP"需詳細 `cluster show`資訊,請參閱。

  2. 將權限等級設為進階: set -priv advanced

  3. 在 SVM 上啟用 Cloud KMS security key-manager external gcp enable -vserver svm_name -project-id project_id-key-ring-name key_ring_name -key-ring-location key_ring_location -key-name key_name 出現提示時、請使用服務帳戶私密金鑰輸入 JSON 檔案的內容

  4. 確認 Cloud KMS 已設定正確的參數: security key-manager external gcp show vserver svm_name 狀態 kms_wrapped_key_status 將會是 “UNKNOWN” 如果尚未建立加密磁碟區、 如果服務連線能力不正常、請透過資料SVM LIF建立與GCP金鑰管理服務的連線。

    "指令參考資料ONTAP"需詳細 `security key-manager external gcp`資訊,請參閱。

如果已為資料SVM設定一或多個加密磁碟區、且對應的NVE金鑰由管理SVM內建金鑰管理程式管理、則這些金鑰應移轉至外部金鑰管理服務。若要使用 CLI 執行此作業、請執行命令: security key-manager key migrate -from-Vserver admin_SVM -to-Vserver data_SVM 在成功移轉資料 SVM 的所有 NVE 金鑰之前、無法為租戶的資料 SVM 建立新的加密磁碟區。