本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

使用Azure Key Vault或Google Cloud KMS管理金鑰

從功能性的9.10.1開始ONTAP 、您就可以開始使用 "Azure Key Vault(AKV)""Google Cloud Platform的金鑰管理服務(雲端KMS)" 在ONTAP Azure或Google Cloud Platform部署的應用程式中保護您的不加密金鑰。

AKV和Cloud KMS可用於保護 "NetApp Volume Encryption(NVE)金鑰" 僅適用於資料SVM。

使用AKV或Cloud KMS的金鑰管理可透過CLI或ONTAP REST API啟用。

使用AKV或Cloud KMS時、請注意、預設會使用資料SVM LIF與雲端金鑰管理端點進行通訊。節點管理網路用於與雲端供應商的驗證服務(login.microsoftonline.com for Azure;oauth2.googleapis.com for Cloud KMS)進行通訊。如果叢集網路設定不正確、叢集將無法正確使用金鑰管理服務。

先決條件
  • 這個支援NVE的叢集節點必須支援ONTAP

  • 已安裝Volume Encryption(VE)授權

  • 已安裝多租戶加密金鑰管理(MTEKM)授權

  • 您必須是叢集或SVM管理員

限制
  • NSE和NAE無法使用AKV和Cloud KMS。 "外部KMIP" 可以改用

  • AKV和Cloud KMS不適用於MetroCluster 不完整的組態設定。

  • AKV和Cloud KMS只能在資料SVM上設定

使用CLI啟用外部金鑰管理

啟用外部金鑰管理取決於您使用的特定金鑰管理程式。如果您要在Cloud Volumes ONTAP 某個範圍內啟用AKV、請注意有一個獨立的程序。選擇適合您需求的金鑰管理程式和環境索引標籤:

Azure
啟用ONTAP Azure Key Vault for功能
  1. 開始之前、您必須先從Azure帳戶取得適當的驗證認證資料、包括用戶端機密或憑證。您也必須確保叢集中的所有節點都正常運作。您可以使用命令「cluster show」來檢查。

  2. 將權限層級設為進階的「套用-priv進階」

  3. 在SVM上啟用AKV「安全金鑰管理程式外部azure enable -client-id client_id-租 戶ID 租 戶id-name -key-id key_id-imite-method{Certificate | client-secret}」。出現提示時、請輸入Azure帳戶的用戶端憑證或用戶端機密。

  4. 驗證是否已正確啟用AKV:「安全金鑰管理程式外部azure show vserver svm_name」如果服務連線能力不正常、請透過資料SVM LIF建立與AKV金鑰管理服務的連線。

Google Cloud
使用CLI啟用Cloud KMS ONTAP 以利實現效益
  1. 開始之前、您需要取得Google Cloud KMS帳戶金鑰檔案的私密金鑰、格式為Json。您可以在GCP帳戶中找到這項資訊。您也必須確保叢集中的所有節點都正常運作。您可以使用命令「cluster show」來檢查。

  2. 將權限層級設為進階的「套用-priv進階」

  3. 在SVM上啟用Cloud KMS「安全金鑰管理程式外部GCP啟用-vserver data_Svm_name-project -id project _id-key-ring_name key_ring_name-key-ring_location key_ring_stite-key-name key_name」當出現提示時、輸入Json帳戶的內容

  4. 驗證Cloud KMS是否設定正確的參數:「安全金鑰管理程式外部GCP顯示Vserver Svm_name」。如果未建立加密磁碟區、則「kms」換行的狀態為「unkms」。如果服務連線能力不正常、請透過資料SVM LIF建立與GCP金鑰管理服務的連線。

如果已為資料SVM設定一或多個加密磁碟區、且對應的NVE金鑰由管理SVM內建金鑰管理程式管理、則這些金鑰應移轉至外部金鑰管理服務。若要使用CLI執行此動作、請執行命令:「安全金鑰管理程式金鑰移轉-從vserver admin_Svm-到vserver data_Svm」。在成功移轉資料SVM的所有NVE金鑰之前、無法為租戶的資料Vserver建立新的加密磁碟區。