Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

使用 ONTAP 中的雲端供應商來管理金鑰

貢獻者
PDF

從 ONTAP 9.10.1 開始,您可以在雲端代管應用程式中使用"Azure Key Vault(AKV)""Google Cloud Platform的金鑰管理服務(雲端KMS)"保護 ONTAP 加密金鑰。從 ONTAP 9.12.0 開始,您也可以使用來保護 NVE 金鑰"AWS 的 KMS"

AWS KMS 、 AKV 和 Cloud KMS 可用於保護 "NetApp Volume Encryption(NVE)金鑰" 僅適用於資料SVM。

關於這項工作

您可以使用 CLI 或 ONTAP REST API 來啟用雲端供應商的金鑰管理。

使用雲端供應商保護金鑰時、請注意、根據預設、資料 SVM LIF 會用於與雲端金鑰管理端點通訊。節點管理網路用於與雲端供應商的驗證服務(login.microsoftonline.com for Azure;oauth2.googleapis.com for Cloud KMS)進行通訊。如果叢集網路未正確設定,叢集將無法正確使用金鑰管理服務。

使用雲端供應商金鑰管理服務時、您應注意下列限制:

  • 雲端供應商金鑰管理不適用於 NetApp 儲存加密( NSE )和 NetApp Aggregate Encryption ( NAE )。 "外部KMIP" 可以改用。

  • 雲端供應商金鑰管理不適用於 MetroCluster 組態。

  • 雲端供應商金鑰管理只能在資料 SVM 上設定。

開始之前

啟用外部金鑰管理

啟用外部金鑰管理取決於您使用的特定金鑰管理程式。選擇適當的金鑰管理程式和環境標籤。

AWS
開始之前

  • 您必須為 AWS KMS 金鑰建立授權、以便由管理加密的 IAM 角色使用。IAM 角色必須包含允許下列作業的原則:

    • DescribeKey

    • Encrypt

    • Decrypt

      如需詳細資訊、請參閱 AWS 文件 "補助"

在 ONTAP SVM 上啟用 AWS KMV

  1. 開始之前、請先從 AWS KMS 取得存取金鑰 ID 和秘密金鑰。

  2. 將權限層級設為進階:
    set -priv advanced

  3. 啟用 AWS KMS :
    security key-manager external aws enable -vserver svm_name -region AWS_region -key-id key_ID -encryption-context encryption_context

  4. 出現提示時、請輸入秘密金鑰。

  5. 確認 AWS KMS 已正確設定:
    security key-manager external aws show -vserver svm_name

如果已為資料SVM設定一或多個加密磁碟區、且對應的NVE金鑰由管理SVM內建金鑰管理程式管理、則這些金鑰應移轉至外部金鑰管理服務。若要使用 CLI 執行此作業、請執行命令:
security key-manager key migrate -from-Vserver admin_SVM -to-Vserver data_SVM
在成功移轉資料 SVM 的所有 NVE 金鑰之前、無法為租戶的資料 SVM 建立新的加密磁碟區。

相關資訊