Skip to content

Latest commit

 

History

History
103 lines (87 loc) · 3.97 KB

task_setting_up_kms.adoc

File metadata and controls

103 lines (87 loc) · 3.97 KB
Raw
sidebar permalink keywords summary
sidebar
task_setting_up_kms.html
encryption, kms, key management service, cmk, customer master key, master key, key, permissions
Si desea usar el cifrado de Amazon con Cloud Volumes ONTAP, debe configurar el servicio de gestión de claves de AWS.

Configuración de AWS KMS

Si desea usar el cifrado de Amazon con Cloud Volumes ONTAP, debe configurar el servicio de gestión de claves (KMS) de AWS.

Pasos

  1. Asegúrese de que existe una clave maestra de cliente (CMK) activa.

    El CMK puede ser un CMK gestionado por AWS o un CMK gestionado por el cliente. Puede encontrarse en la misma cuenta de AWS que Cloud Manager y Cloud Volumes ONTAP, o en una cuenta de AWS diferente.

  2. Modifique la política de claves de cada CMK añadiendo el rol IAM que proporciona permisos a Cloud Manager como key user.

    La adición del rol IAM como usuario clave permite a Cloud Manager utilizar el CMK con Cloud Volumes ONTAP.

  3. Si el CMK se encuentra en una cuenta de AWS diferente, realice los pasos siguientes:

    1. Vaya a la consola KMS desde la cuenta donde reside el CMK.

    2. Seleccione la tecla.

    3. En el panel Configuración general, copie el ARN de la clave.

      Deberá proporcionar el ARN al Cloud Manager cuando cree el sistema Cloud Volumes ONTAP.

    4. En el panel otras cuentas de AWS, agregue la cuenta de AWS que proporciona permisos a Cloud Manager.

      En la mayoría de los casos, esta es la cuenta en la que reside Cloud Manager. Si Cloud Manager no se instaló en AWS, sería la cuenta para la que proporcionó las claves de acceso de AWS a Cloud Manager.

      Esta captura de pantalla muestra el botón «Agregar otras cuentas de AWS» de la consola KMS de AWS.

      Esta captura de pantalla muestra el cuadro de diálogo "otras cuentas de AWS" de la consola de AWS KMS.

    5. Cambie ahora a la cuenta de AWS que proporciona permisos a Cloud Manager y abra la consola IAM.

    6. Cree una política de IAM que incluya los permisos que se indican a continuación.

    7. Asocie la política al rol de IAM o al usuario IAM que proporciona permisos a Cloud Manager.

      La siguiente directiva proporciona los permisos que Cloud Manager necesita para utilizar CMK desde la cuenta de AWS externa. Asegúrese de modificar la región y el ID de cuenta en las secciones "Recursos".

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowUseOfTheKey",
            "Effect": "Allow",
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:externalaccountid:key/externalkeyid"
            ]
        },
        {
            "Sid": "AllowAttachmentOfPersistentResources",
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:ListGrants",
                "kms:RevokeGrant"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:externalaccountid:key/externalaccountid"
            ],
            "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": true
                }
            }
        }
    ]
}

    +
    Para obtener más información sobre este proceso, consulte "Documentación de AWS: Permitir que las cuentas de AWS externas puedan acceder a un CMK".