Skip to main content
所有雲端提供者
  • 亞馬遜網路服務
  • Google雲
  • 微軟 Azure
  • 所有雲端提供者
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

設定Cloud Volumes ONTAP以在 AWS 中使用客戶管理的金鑰

貢獻者 netapp-manini

如果您想要將 Amazon 加密與Cloud Volumes ONTAP一起使用,則需要設定 AWS 金鑰管理服務 (KMS)。

步驟
  1. 確保存在有效的客戶主金鑰 (CMK)。

    CMK 可以是 AWS 管理的 CMK 或客戶管理的 CMK。它可以與NetApp控制台和Cloud Volumes ONTAP位於同一個 AWS 帳戶中,也可以位於不同的 AWS 帳戶中。

  2. 透過新增以_金鑰使用者_身分向控制台提供權限的 IAM 角色來修改每個 CMK 的金鑰策略。

    將身分識別和存取管理 (IAM) 角色新增為關鍵用戶,可授予控制台使用 CMK 與Cloud Volumes ONTAP 的權限。

  3. 如果 CMK 位於不同的 AWS 帳戶中,請完成下列步驟:

    1. 從 CMK 所在的帳戶進入 KMS 控制台。

    2. 選擇鍵。

    3. 在「常規配置」窗格中,複製金鑰的 ARN。

      建立Cloud Volumes ONTAP系統時,您需要向控制台提供 ARN。

    4. 其他 AWS 帳戶 窗格中,新增為控制台提供權限的 AWS 帳戶。

      通常,這是部署控制台的帳戶。如果 AWS 中未安裝控制台,請使用您向控制台提供 AWS 存取金鑰的帳戶。

      此螢幕截圖顯示了 AWS KMS 控制台中的「新增其他 AWS 帳戶」按鈕。

      此螢幕截圖顯示了 AWS KMS 控制台中的「其他 AWS 帳戶」對話方塊。

    5. 現在切換到為控制台提供權限的 AWS 帳戶並開啟 IAM 控制台。

    6. 建立包含下面列出的權限的 IAM 策略。

    7. 將政策附加到向控制台提供權限的 IAM 角色或 IAM 使用者。

      以下政策提供控制台使用來自外部 AWS 帳戶的 CMK 所需的權限。請務必修改「資源」部分中的區域和帳戶 ID。

    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Sid": "AllowUseOfTheKey",
                "Effect": "Allow",
                "Action": [
                    "kms:Encrypt",
                    "kms:Decrypt",
                    "kms:ReEncrypt*",
                    "kms:GenerateDataKey*",
                    "kms:DescribeKey"
                ],
                "Resource": [
                    "arn:aws:kms:us-east-1:externalaccountid:key/externalkeyid"
                ]
            },
            {
                "Sid": "AllowAttachmentOfPersistentResources",
                "Effect": "Allow",
                "Action": [
                    "kms:CreateGrant",
                    "kms:ListGrants",
                    "kms:RevokeGrant"
                ],
                "Resource": [
                    "arn:aws:kms:us-east-1:externalaccountid:key/externalaccountid"
                ],
                "Condition": {
                    "Bool": {
                        "kms:GrantIsForAWSResource": true
                    }
                }
            }
        ]
    }

    +
    有關此過程的更多詳細信息,請參閱 "AWS 文件:允許其他帳戶中的使用者使用 KMS 金鑰"

  4. 如果您使用的是客戶管理的 CMK,請透過將Cloud Volumes ONTAP IAM 角色新增為_密鑰使用者_來修改 CMK 的密鑰原則。

    如果您在Cloud Volumes ONTAP上啟用了資料分層並想要加密儲存在 S3 儲存桶中的數據,則需要執行此步驟。

您需要在部署Cloud Volumes ONTAP之後執行此步驟,因為 IAM 角色是在建立Cloud Volumes ONTAP系統時建立的。 (當然,您可以選擇使用現有的Cloud Volumes ONTAP IAM 角色,因此可以先執行此步驟。)