設定Cloud Volumes ONTAP以在 AWS 中使用客戶管理的金鑰
建議變更
PDF
如果您想要將 Amazon 加密與Cloud Volumes ONTAP一起使用,則需要設定 AWS 金鑰管理服務 (KMS)。
-
確保存在有效的客戶主金鑰 (CMK)。
CMK 可以是 AWS 管理的 CMK 或客戶管理的 CMK。它可以與NetApp Console和Cloud Volumes ONTAP位於同一個 AWS 帳戶中,也可以位於不同的 AWS 帳戶中。
-
透過新增以_金鑰使用者_身分向控制台提供權限的 IAM 角色來修改每個 CMK 的金鑰策略。
將身分識別和存取管理 (IAM) 角色新增為關鍵用戶,可授予控制台使用 CMK 與Cloud Volumes ONTAP 的權限。
-
如果 CMK 位於不同的 AWS 帳戶中,請完成下列步驟:
-
從 CMK 所在的帳戶進入 KMS 控制台。
-
選擇鍵。
-
在「常規配置」窗格中,複製金鑰的 ARN。
建立Cloud Volumes ONTAP系統時,您需要向控制台提供 ARN。
-
在 其他 AWS 帳戶 窗格中,新增為控制台提供權限的 AWS 帳戶。
通常,這是部署控制台的帳戶。如果 AWS 中未安裝控制台,請使用您向控制台提供 AWS 存取金鑰的帳戶。
-
現在切換到為控制台提供權限的 AWS 帳戶並開啟 IAM 控制台。
-
建立包含下面列出的權限的 IAM 策略。
-
將政策附加到向控制台提供權限的 IAM 角色或 IAM 使用者。
以下政策提供控制台使用來自外部 AWS 帳戶的 CMK 所需的權限。請務必修改「資源」部分中的區域和帳戶 ID。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowUseOfTheKey", "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:us-east-1:externalaccountid:key/externalkeyid" ] }, { "Sid": "AllowAttachmentOfPersistentResources", "Effect": "Allow", "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": [ "arn:aws:kms:us-east-1:externalaccountid:key/externalaccountid" ], "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ] }+
有關此過程的更多詳細信息,請參閱 "AWS 文件:允許其他帳戶中的使用者使用 KMS 金鑰"。 -
-
如果您使用的是客戶管理的 CMK,請透過將Cloud Volumes ONTAP IAM 角色新增為_密鑰使用者_來修改 CMK 的密鑰原則。
如果您在Cloud Volumes ONTAP上啟用了資料分層並想要加密儲存在 S3 儲存桶中的數據,則需要執行此步驟。
您需要在部署Cloud Volumes ONTAP之後執行此步驟,因為 IAM 角色是在建立Cloud Volumes ONTAP系統時建立的。 (當然,您可以選擇使用現有的Cloud Volumes ONTAP IAM 角色,因此可以先執行此步驟。)