利用Google的雲端金鑰管理服務來管理金鑰
您可以使用 "Google Cloud Platform的金鑰管理服務(雲端KMS)" 在ONTAP Google Cloud Platform部署的應用程式中保護您的不加密金鑰。
雲端KMS的金鑰管理可透過CLI或ONTAP REST API啟用。
使用 Cloud KMS 時、請注意、根據預設、會使用 Data SVM 的 LIF 與雲端金鑰管理端點通訊。節點管理網路用於與雲端供應商的驗證服務(oauth2.googleapis.com)進行通訊。如果叢集網路設定不正確、叢集將無法正確使用金鑰管理服務。
-
必須執行9.10.1版或更新版本Cloud Volumes ONTAP
-
已安裝Volume Encryption(VE)授權
-
安裝多租戶加密金鑰管理(MTEKM)授權、從Cloud Volumes ONTAP 版本號為E59.12.1 GA開始。
-
您必須是叢集或SVM管理員
-
現用Google Cloud Platform訂閱
-
雲端KMS只能在資料SVM上設定
組態
-
在您的Google Cloud環境中、 "建立對稱的GCP金鑰環和金鑰"。
-
為Cloud Volumes ONTAP 您的服務帳戶建立自訂角色。
gcloud iam roles create kmsCustomRole --project=<project_id> --title=<kms_custom_role_name> --description=<custom_role_description> --permissions=cloudkms.cryptoKeyVersions.get,cloudkms.cryptoKeyVersions.list,cloudkms.cryptoKeyVersions.useToDecrypt,cloudkms.cryptoKeyVersions.useToEncrypt,cloudkms.cryptoKeys.get,cloudkms.keyRings.get,cloudkms.locations.get,cloudkms.locations.list,resourcemanager.projects.get --stage=GA
-
將自訂角色指派給 Cloud KMS 金鑰和 Cloud Volumes ONTAP 服務帳戶:
gcloud kms keys add-iam-policy-binding key_name --keyring key_ring_name --location key_location --member serviceAccount:_service_account_Name_ --role projects/customer_project_id/roles/kmsCustomRole
-
下載服務帳戶 JSON 金鑰:
gcloud iam service-accounts keys create key-file --iam-account=sa-name@project-id.iam.gserviceaccount.com
-
使用您偏好的SSH用戶端連線至叢集管理LIF。
-
切換至進階權限層級:
set -privilege advanced
-
為資料SVM建立DNS。
dns create -domains c.<project>.internal -name-servers server_address -vserver SVM_name
-
建立 CMEK 項目:
security key-manager external gcp enable -vserver SVM_name -project-id project -key-ring-name key_ring_name -key-ring-location key_ring_location -key-name key_name
-
出現提示時、請從GCP帳戶輸入服務帳戶Json金鑰。
-
確認已啟用的程序成功:
security key-manager external gcp check -vserver svm_name
-
選用:建立磁碟區以測試加密
vol create volume_name -aggregate aggregate -vserver vserver_name -size 10G
疑難排解
如果您需要疑難排解、可以跳接上述最後兩個步驟中的原始REST API記錄:
-
set d
-
systemshell -node node -command tail -f /mroot/etc/log/mlog/kmip2_client.log