Skip to main content
所有雲端提供者
  • 亞馬遜網路服務
  • Google雲
  • 微軟 Azure
  • 所有雲端提供者
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

設定Cloud Volumes ONTAP以在 Azure 中使用客戶管理的金鑰

貢獻者 netapp-manini

使用具有 Microsoft 管理金鑰的 Azure 儲存服務加密,資料會在 Azure 中的Cloud Volumes ONTAP上自動加密。但是您可以按照本頁上的步驟使用您自己的加密金鑰。

資料加密概述

Cloud Volumes ONTAP資料在 Azure 中自動使用 "Azure 儲存服務加密"。預設實作使用 Microsoft 管理的金鑰。無需設定。

如果您想將客戶管理的金鑰與Cloud Volumes ONTAP一起使用,則需要完成以下步驟:

  1. 從 Azure 建立一個金鑰保管庫,然後在該保管庫中產生一個金鑰。

  2. 從NetApp控制台,使用 API 建立使用金鑰的Cloud Volumes ONTAP系統。

資料如何加密

控制台使用磁碟加密集,從而可以透過託管磁碟而不是頁面 blob 來管理加密金鑰。任何新的資料磁碟也使用相同的磁碟加密集。較低版本將使用 Microsoft 管理的金鑰,而不是客戶管理的金鑰。

建立配置為使用客戶管理金鑰的Cloud Volumes ONTAP系統後, Cloud Volumes ONTAP資料將如下加密。

Cloud Volumes ONTAP配置 用於密鑰加密的系統磁碟 用於密鑰加密的資料磁碟

單節點

  • 引導

  • NVRAM

  • 數據

具有頁面 Blob 的 Azure HA 單可用性區域

  • 引導

  • NVRAM

沒有任何

具有共用託管磁碟的 Azure HA 單可用性區域

  • 引導

  • NVRAM

  • 數據

具有共用託管磁碟的 Azure HA 多個可用性區域

  • 引導

  • NVRAM

  • 數據

Cloud Volumes ONTAP的所有 Azure 儲存帳戶均使用客戶管理的金鑰加密。如果您想在建立儲存帳戶期間對其進行加密,則必須在Cloud Volumes ONTAP建立請求中建立並提供資源的 ID。這適用於所有類型的部署。如果您不提供,儲存帳戶仍將被加密,但控制台首先使用 Microsoft 管理的金鑰加密建立儲存帳戶,然後更新儲存帳戶以使用客戶管理的金鑰。

Cloud Volumes ONTAP中的金鑰輪換

配置加密金鑰時,必須使用 Azure 入口網站來設定並啟用自動金鑰輪替。建立並啟用新版本的加密金鑰可確保Cloud Volumes ONTAP可以自動偵測並使用最新的金鑰版本進行加密,確保您的資料保持安全而無需人工幹預。

有關配置金鑰和設定金鑰輪換的信息,請參閱以下 Microsoft Azure 文件主題:

註 配置金鑰後,請確保已選擇 "啟用自動旋轉",以便Cloud Volumes ONTAP可以在先前的金鑰過期時使用新的金鑰。如果您未在 Azure 入口網站上啟用此選項, Cloud Volumes ONTAP將無法自動偵測新金鑰,這可能會導致儲存設定問題。

建立使用者分配的託管標識

您可以選擇建立稱為使用者指派的託管識別碼的資源。這樣做可以讓您在建立Cloud Volumes ONTAP系統時加密您的儲存帳戶。我們建議在建立金鑰保管庫和產生金鑰之前建立此資源。

此資源具有以下 ID: userassignedidentity

步驟
  1. 在 Azure 中,前往 Azure 服務並選擇 託管識別

  2. 按一下“建立”。

  3. 提供以下詳細資訊:

    • 訂閱:選擇訂閱。我們建議選擇與控制台代理的訂閱相同的訂閱。

    • 資源組:使用現有資源組或建立新的資源組。

    • 區域:可選,選擇與控制台代理相同的區域。

    • 名稱:輸入資源的名稱。

  4. (可選)新增標籤。

  5. 按一下“建立”。

建立金鑰保管庫並產生金鑰

金鑰保管庫必須位於您計劃建立Cloud Volumes ONTAP系統的相同 Azure 訂閱和區域中。

如果你建立了使用者分配的託管標識,在建立金鑰保管庫時,也應該為金鑰保管庫建立存取策略。

步驟
  1. "在 Azure 訂閱中建立金鑰保管庫"

    請注意密鑰保管庫的以下要求:

    • 密鑰保管庫必須與Cloud Volumes ONTAP系統位於同一區域。

    • 應啟用以下選項:

      • 軟刪除(此選項預設為啟用,但不能停用)

      • 清除保護

      • 用於磁碟區加密的 Azure 磁碟加密(適用於單節點系統、多個區域中的 HA 對以及 HA 單 AZ 部署)

        註 使用 Azure 客戶管理加密金鑰的前提是為金鑰保管庫啟用 Azure 磁碟加密。
    • 如果建立了使用者指派的託管標識,則應啟用下列選項:

      • 保險庫存取保單

  2. 如果選擇了“保管庫存取原則”,請按一下“建立”為金鑰保管庫建立存取原則。如果沒有,請跳至步驟 3。

    1. 選擇以下權限:

      • 得到

      • 清單

      • 解密

      • 加密

      • 解開密鑰

      • 包裝鍵

      • 核實

      • 符號

    2. 選擇使用者指派的託管標識(資源)作為主體。

    3. 審查並建立存取策略。

  3. "在金鑰保管庫中產生金鑰"

    請注意以下密鑰需求:

    • 金鑰類型必須是*RSA*。

    • 建議的 RSA 金鑰大小為 2048,但也支援其他大小。

建立使用加密金鑰的系統

建立金鑰保管庫並產生加密金鑰後,您可以建立配置為使用該金鑰的新Cloud Volumes ONTAP系統。這些步驟透過使用 API 來支援。

所需權限

如果要在單節點Cloud Volumes ONTAP系統中使用客戶管理金鑰,請確保控制台代理具有下列權限:

"Microsoft.Compute/diskEncryptionSets/read",
"Microsoft.Compute/diskEncryptionSets/write",
"Microsoft.Compute/diskEncryptionSets/delete"
"Microsoft.KeyVault/vaults/deploy/action",
"Microsoft.KeyVault/vaults/read",
"Microsoft.KeyVault/vaults/accessPolicies/write",
"Microsoft.ManagedIdentity/userAssignedIdentities/assign/action"
步驟
  1. 使用下列 API 呼叫取得 Azure 訂閱中的金鑰保管庫清單。

    對於 HA 對: GET /azure/ha/metadata/vaults

    對於單節點: GET /azure/vsa/metadata/vaults

    記下*名稱*和*資源組*。您需要在下一個步驟中指定這些值。

  2. 使用以下 API 呼叫取得保管庫中的金鑰清單。

    對於 HA 對: GET /azure/ha/metadata/keys-vault

    對於單節點: GET /azure/vsa/metadata/keys-vault

    記下*keyName*。您需要在下一個步驟中指定該值(以及保險庫名稱)。

  3. 使用下列 API 呼叫建立Cloud Volumes ONTAP系統。

    1. 對於 HA 對:

      POST /azure/ha/working-environments

      請求主體必須包含以下欄位:

      "azureEncryptionParameters": {
                    "key": "keyName",
                    "vaultName": "vaultName"
      }
      註 包括 `"userAssignedIdentity": " userAssignedIdentityId"`如果您建立此資源是為了用於儲存帳戶加密,則欄位。
    2. 對於單節點系統:

      POST /azure/vsa/working-environments

      請求主體必須包含以下欄位:

      "azureEncryptionParameters": {
                    "key": "keyName",
                    "vaultName": "vaultName"
      }
      註 包括 `"userAssignedIdentity": " userAssignedIdentityId"`如果您建立此資源是為了用於儲存帳戶加密,則欄位。
結果

您有一個新的Cloud Volumes ONTAP系統,該系統配置為使用客戶管理的金鑰進行資料加密。