Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Perlindungan data di Amazon FSx untuk NetApp ONTAP
[Model tanggung jawab AWS bersama model](https://aws.amazon.com/compliance/shared-responsibility-model/) berlaku untuk perlindungan data di Amazon FSx untuk NetApp ONTAP. Seperti yang dijelaskan dalam model AWS ini, bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS Cloud. Anda bertanggung jawab untuk mempertahankan kendali atas konten yang di-host pada infrastruktur ini. Anda juga bertanggung jawab atas tugas-tugas konfigurasi dan manajemen keamanan untuk Layanan AWS yang Anda gunakan. Lihat informasi yang lebih lengkap tentang privasi data dalam [Pertanyaan Umum Privasi Data](https://aws.amazon.com/compliance/data-privacy-faq/). Lihat informasi tentang perlindungan data di Eropa di pos blog [Model Tanggung Jawab Bersama dan GDPR AWS](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) di *Blog Keamanan AWS *.
Untuk tujuan perlindungan data, kami menyarankan Anda melindungi Akun AWS kredensil dan mengatur pengguna individu dengan AWS IAM Identity Center atau AWS Identity and Access Management (IAM). Dengan cara itu, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugasnya. Kami juga menyarankan supaya Anda mengamankan data dengan cara-cara berikut:
+ Gunakan autentikasi multi-faktor (MFA) pada setiap akun.
+ Gunakan SSL/TLS untuk berkomunikasi dengan AWS sumber daya. Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Siapkan API dan pencatatan aktivitas pengguna dengan AWS CloudTrail. Untuk informasi tentang penggunaan CloudTrail jejak untuk menangkap AWS aktivitas, lihat [Bekerja dengan CloudTrail jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) di *AWS CloudTrail Panduan Pengguna*.
+ Gunakan solusi AWS enkripsi, bersama dengan semua kontrol keamanan default di dalamnya Layanan AWS.
+ Gunakan layanan keamanan terkelola tingkat lanjut seperti Amazon Macie, yang membantu menemukan dan mengamankan data sensitif yang disimpan di Amazon S3.
+ Jika Anda memerlukan modul kriptografi tervalidasi FIPS 140-3 saat mengakses AWS melalui antarmuka baris perintah atau API, gunakan titik akhir FIPS. Lihat informasi selengkapnya tentang titik akhir FIPS yang tersedia di [Standar Pemrosesan Informasi Federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Kami sangat merekomendasikan agar Anda tidak pernah memasukkan informasi identifikasi yang sensitif, seperti nomor rekening pelanggan Anda, ke dalam tanda atau bidang isian bebas seperti bidang **Nama**. Ini termasuk saat Anda bekerja dengan Amazon FSx atau lainnya Layanan AWS menggunakan konsol, API AWS CLI, atau AWS SDKs. Data apa pun yang Anda masukkan ke dalam tanda atau bidang isian bebas yang digunakan untuk nama dapat digunakan untuk log penagihan atau log diagnostik. Saat Anda memberikan URL ke server eksternal, kami sangat menganjurkan supaya Anda tidak menyertakan informasi kredensial di dalam URL untuk memvalidasi permintaan Anda ke server itu.
## Enkripsi data FSx untuk ONTAP
Amazon FSx untuk NetApp ONTAP mendukung enkripsi data saat istirahat dan enkripsi data dalam perjalanan. Enkripsi data saat istirahat diaktifkan secara otomatis saat membuat sistem FSx file Amazon. Amazon FSx untuk NetApp ONTAP mendukung enkripsi berbasis KerberOS dalam perjalanan melalui protokol NFS dan SMB jika Anda mengakses data di Storage Virtual Machine (SVM) yang digabungkan ke Active Directory atau ke domain menggunakan Lightweight Directory Access Protocol (LDAP).
### Kapan menggunakan enkripsi
Jika organisasi Anda tunduk pada kebijakan perusahaan atau peraturan yang memerlukan enkripsi data dan metadata saat istirahat, data Anda secara otomatis dienkripsi saat istirahat. Kami juga menyarankan Anda mengaktifkan enkripsi data dalam perjalanan dengan memasang sistem file Anda menggunakan enkripsi data dalam perjalanan.
Untuk informasi selengkapnya tentang enkripsi data dengan Amazon FSx untuk NetApp ONTAP, lihat [Enkripsi data saat tidak digunakan](encryption-at-rest.md) dan[Mengenkripsi data dalam perjalanan](encryption-in-transit.md).
# Enkripsi data saat tidak digunakan
Semua sistem file Amazon FSx untuk NetApp ONTAP dan cadangan dienkripsi saat istirahat dengan kunci yang dikelola menggunakan (). AWS Key Management Service AWS KMS Data dienkripsi secara otomatis sebelum ditulis ke sistem file, dan secara otomatis didekripsi saat dibaca. Semua backup secara otomatis dienkripsi pada saat pembuatan, dan secara otomatis didekripsi ketika cadangan dikembalikan ke volume baru. Proses ini ditangani secara transparan oleh Amazon FSx, jadi Anda tidak perlu memodifikasi aplikasi Anda.
Amazon FSx menggunakan algoritma enkripsi AES-256 standar industri untuk mengenkripsi FSx data Amazon dan metadata saat istirahat. Untuk informasi selengkapnya, lihat [Dasar-dasar Kriptografi](https://docs.aws.amazon.com/kms/latest/developerguide/crypto-intro.html) di *Panduan Developer AWS Key Management Service *.
**catatan**
Infrastruktur manajemen AWS kunci menggunakan Federal Information Processing Standards (FIPS) 140-2 algoritma kriptografi yang disetujui. Infrastruktur ini konsisten dengan rekomendasi National Institute of Standard and Technology (NIST) 800-57.
## Bagaimana Amazon FSx menggunakan AWS KMS
Amazon FSx terintegrasi dengan AWS KMS untuk manajemen kunci. Amazon FSx menggunakan kunci KMS untuk mengenkripsi sistem file Anda dan cadangan volume apa pun. Anda memilih kunci KMS yang digunakan untuk mengenkripsi dan mendekripsi sistem file dan cadangan volume (baik data maupun metadata). Anda dapat mengaktifkan, menonaktifkan, atau mencabut hibah pada kunci KMS ini. Kunci KMS ini dapat menjadi salah satu dari dua jenis berikut:
+ **AWS-Managed KMS key** - Ini adalah kunci KMS default, dan gratis untuk digunakan.
+ Kunci **KMS yang dikelola pelanggan - Ini adalah kunci** KMS yang paling fleksibel untuk digunakan, karena Anda dapat mengonfigurasi kebijakan dan hibah utamanya untuk beberapa pengguna atau layanan. Untuk informasi selengkapnya tentang membuat kunci KMS, lihat [Membuat Kunci](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) di *Panduan AWS Key Management Service Pengembang*.
**penting**
Amazon hanya FSx menerima kunci KMS enkripsi simetris. Anda tidak dapat menggunakan kunci KMS asimetris dengan Amazon. FSx
Jika Anda menggunakan kunci KMS yang dikelola pelanggan sebagai kunci KMS Anda untuk enkripsi dan dekripsi data file, Anda dapat mengaktifkan rotasi kunci. Bila Anda mengaktifkan rotasi kunci, AWS KMS secara otomatis akan merotasi kunci Anda satu kali per tahun. Selain itu, dengan kunci KMS yang dikelola pelanggan, Anda dapat memilih kapan harus menonaktifkan, mengaktifkan kembali, menghapus, atau mencabut akses ke kunci KMS Anda kapan saja. *Untuk informasi selengkapnya, lihat [Memutar AWS KMS keys dan Mengaktifkan](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html) [dan menonaktifkan kunci](https://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys.html) di Panduan Pengembang.AWS Key Management Service *
## Kebijakan FSx utama Amazon untuk AWS KMS
Kebijakan utama adalah cara utama untuk mengontrol akses ke kunci KMS. Untuk informasi selengkapnya tentang kebijakan kunci, lihat [Menggunakan kebijakan kunci di AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) dalam *Panduan Developer AWS Key Management Service . *Daftar berikut menjelaskan semua izin AWS KMS terkait yang didukung oleh Amazon FSx untuk sistem file dan cadangan terenkripsi saat istirahat:
+ **kms:Encrypt** – (Opsional) Mengenkripsi plaintext ke ciphertext. Izin ini termasuk dalam kebijakan kunci default.
+ **kms:Decrypt** – (Wajib) Mendekripsi ciphertext. Ciphertext adalah teks biasa yang sebelumnya telah dienkripsi. Izin ini termasuk dalam kebijakan kunci default.
+ **kms: ReEncrypt** — (Opsional) Mengenkripsi data di sisi server dengan yang baru AWS KMS key, tanpa mengekspos plaintext data di sisi klien. Data pertama kali didekripsi dan kemudian dienkripsi ulang. Izin ini termasuk dalam kebijakan kunci default.
+ **kms: GenerateDataKeyWithoutPlaintext** — (Diperlukan) Mengembalikan kunci enkripsi data yang dienkripsi di bawah kunci KMS. Izin ini disertakan dalam kebijakan kunci default di bawah **kms: GenerateDataKey \$1**.
+ **kms: CreateGrant** — (Diperlukan) Menambahkan hibah ke kunci untuk menentukan siapa yang dapat menggunakan kunci dan dalam kondisi apa. Hibah adalah mekanisme izin lainnya untuk kebijakan kunci. Untuk informasi lebih lanjut tentang hibah, lihat [Menggunakan Pemberian](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) di *Panduan Developer AWS Key Management Service .* Izin ini termasuk dalam kebijakan kunci default.
+ **kms: DescribeKey** - (Diperlukan) Memberikan informasi rinci tentang kunci KMS yang ditentukan. Izin ini termasuk dalam kebijakan kunci default.
+ **kms: ListAliases** — (Opsional) Daftar semua alias kunci di akun. Saat Anda menggunakan konsol untuk membuat sistem file terenkripsi, izin ini mengisi daftar kunci KMS. Kami merekomendasikan untuk menggunakan izin ini untuk memberikan pengalaman pengguna yang terbaik. Izin ini termasuk dalam kebijakan kunci default.
# Mengenkripsi data dalam perjalanan
Topik ini menjelaskan berbagai opsi yang tersedia untuk mengenkripsi data file Anda saat sedang dalam perjalanan antara sistem file FSx untuk ONTAP dan klien yang terhubung. Ini juga memberikan panduan untuk membantu Anda memilih metode enkripsi mana yang paling cocok untuk alur kerja Anda.
Semua data yang mengalir di Wilayah AWS seluruh jaringan AWS global secara otomatis dienkripsi pada lapisan fisik sebelum meninggalkan fasilitas yang AWS aman. Semua lalu lintas antara Availability Zones dienkripsi. Lapisan enkripsi tambahan, termasuk yang tercantum di bagian ini, memberikan perlindungan tambahan. Untuk informasi selengkapnya tentang cara AWS menyediakan perlindungan untuk data yang mengalir di seluruh Zona Tersedia Wilayah AWS, dan instans, lihat [Enkripsi saat transit di](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit) Panduan Pengguna Amazon Elastic Compute Cloud untuk Instans Linux.
Amazon FSx untuk NetApp ONTAP mendukung metode berikut untuk mengenkripsi data dalam perjalanan antara FSx untuk sistem file ONTAP dan klien yang terhubung:
+ [Enkripsi berbasis Nitro otomatis atas semua protokol dan klien yang didukung yang berjalan pada jenis instans Amazon EC2 [Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit) dan Windows yang didukung.](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/data-protection.html#encryption-transit)
+ Enkripsi berbasis Kerberos melalui protokol NFS dan SMB.
+ IPsecenkripsi berbasis melalui protokol NFS, iSCSI, dan SMB
Semua metode yang didukung untuk mengenkripsi data dalam perjalanan menggunakan algoritme kriptografi AES-256 standar industri yang menyediakan enkripsi kekuatan perusahaan.
**Topics**
+ [Memilih metode untuk mengenkripsi data dalam perjalanan](#choosing-encryption-in-transit)
+ [Mengenkripsi data dalam perjalanan dengan AWS Sistem Nitro](#nitro-encryption)
+ [Mengenkripsi data dalam perjalanan dengan enkripsi berbasis Kerberos](#kerberos-encryption)
+ [Mengenkripsi data dalam perjalanan dengan enkripsi IPsec](#ipsec-encryption)
+ [Mengaktifkan enkripsi data SMB dalam perjalanan](enable-smb-encryption.md)
+ [Mengkonfigurasi IPsec menggunakan otentikasi PSK](config-ipsec-psk-auth.md)
+ [Mengkonfigurasi IPsec menggunakan otentikasi sertifikat](config-ipsec-ca-auth.md)
## Memilih metode untuk mengenkripsi data dalam perjalanan
Bagian ini memberikan informasi yang dapat membantu Anda memutuskan enkripsi mana yang didukung dalam metode transit yang terbaik untuk alur kerja Anda. Lihat kembali bagian ini saat Anda menjelajahi opsi yang didukung yang dijelaskan secara rinci di bagian berikut.
Ada beberapa faktor yang perlu dipertimbangkan ketika memilih bagaimana Anda akan mengenkripsi data dalam perjalanan antara sistem file ONTAP Anda FSx dan klien yang terhubung. Faktor-faktor ini meliputi:
+ Sistem file FSx untuk ONTAP Anda berjalan di. Wilayah AWS
+ Jenis instance yang dijalankan klien.
+ Lokasi klien yang mengakses sistem file Anda.
+ Persyaratan kinerja jaringan.
+ Protokol data yang ingin Anda enkripsi.
+ Jika Anda menggunakan Microsoft Active Directory.
**Wilayah AWS**
Sistem file Anda berjalan menentukan apakah Anda dapat menggunakan enkripsi berbasis Amazon Nitro atau tidak. Wilayah AWS Untuk informasi selengkapnya, lihat [Mengenkripsi data dalam perjalanan dengan AWS Sistem Nitro](#nitro-encryption).
**Jenis contoh klien**
[Anda dapat menggunakan enkripsi berbasis Amazon Nitro jika klien yang mengakses sistem file Anda berjalan di salah satu jenis instans Amazon EC2 Mac[, Linux, [atau](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/data-protection.html#encryption-transit) Windows yang didukung,](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit) dan alur kerja Anda memenuhi semua persyaratan lain untuk menggunakan enkripsi berbasis Nitro.](#nitro-encryption) Tidak ada persyaratan jenis instance klien untuk menggunakan Kerberos atau IPsec enkripsi.
**Lokasi klien**
Lokasi klien yang mengakses data sehubungan dengan lokasi sistem file Anda memengaruhi metode enkripsi in-transit yang tersedia untuk digunakan. Anda dapat menggunakan salah satu metode enkripsi yang didukung jika klien dan sistem file berada di VPC yang sama. Hal yang sama berlaku jika klien dan sistem file berada di peered VPCs, selama lalu lintas tidak melewati perangkat atau layanan jaringan virtual, seperti gateway transit. Enkripsi berbasis Nitro bukanlah pilihan yang tersedia jika klien tidak berada dalam VPC yang sama atau diintip, atau jika lalu lintas melewati perangkat atau layanan jaringan virtual.
**Performa jaringan**
Menggunakan enkripsi berbasis Amazon Nitro tidak berdampak pada kinerja jaringan. Ini karena instans Amazon EC2 yang didukung menggunakan kemampuan pembongkaran perangkat keras Sistem Nitro yang mendasarinya untuk secara otomatis mengenkripsi lalu lintas dalam transit antar instans.
Menggunakan Kerberos atau IPsec enkripsi berdampak pada kinerja jaringan. Ini karena kedua metode enkripsi ini berbasis perangkat lunak, yang mengharuskan klien dan server untuk menggunakan sumber daya komputasi untuk mengenkripsi dan mendekripsi lalu lintas dalam transit.
**Protokol data**
Anda dapat menggunakan enkripsi dan IPsec enkripsi berbasis Amazon Nitro dengan semua protokol yang didukung — NFS, SMB, dan iSCSI. Anda dapat menggunakan enkripsi Kerberos dengan protokol NFS dan SMB (dengan Active Directory).
**Active Directory**
Jika Anda menggunakan Microsoft Active Directory, Anda dapat menggunakan [enkripsi Kerberos melalui protokol](#kerberos-encryption) NFS dan SMB.
Gunakan diagram berikut untuk membantu Anda memutuskan metode enkripsi dalam transit mana yang akan digunakan.
![\[Diagram alir menunjukkan enkripsi mana dalam metode transit yang akan digunakan berdasarkan lima titik keputusan.\]](http://docs.aws.amazon.com/id_id/fsx/latest/ONTAPGuide/images/fsx-ontap-encrypt-n-transit-decision-flow.png)
IPsec enkripsi adalah satu-satunya pilihan yang tersedia ketika semua kondisi berikut berlaku untuk alur kerja Anda:
+ Anda menggunakan protokol NFS, SMB, atau iSCSI.
+ Alur kerja Anda tidak mendukung penggunaan enkripsi berbasis Amazon Nitro.
+ Anda tidak menggunakan domain Microsoft Active Directory.
## Mengenkripsi data dalam perjalanan dengan AWS Sistem Nitro
Dengan enkripsi berbasis NITRO, data dalam transit dienkripsi secara otomatis saat klien yang mengakses sistem file Anda berjalan pada jenis instans Amazon EC2 [Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit) atau [Windows](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/data-protection.html#encryption-transit) yang didukung di Wilayah AWS mana data tersebut tersedia untuk ONTAP. FSx
Menggunakan enkripsi berbasis Amazon Nitro tidak berdampak pada kinerja jaringan. Ini karena instans Amazon EC2 yang didukung menggunakan kemampuan pembongkaran perangkat keras Sistem Nitro yang mendasarinya untuk secara otomatis mengenkripsi lalu lintas dalam transit antar instans.
Enkripsi berbasis Nitro diaktifkan secara otomatis ketika jenis instance klien yang didukung berada di VPC yang sama Wilayah AWS dan di VPC yang sama atau di VPC yang diintip dengan VPC sistem file. Selain itu, jika klien berada dalam VPC peered, maka data tidak dapat melintasi perangkat atau layanan jaringan virtual (seperti gateway transit) agar enkripsi berbasis NITRO diaktifkan secara otomatis. Untuk informasi selengkapnya tentang enkripsi berbasis Nitro, lihat bagian Enkripsi dalam perjalanan dari Panduan Pengguna Amazon EC2 [untuk jenis instans](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit) Linux [atau](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/data-protection.html#encryption-transit) Windows.
Tabel berikut merinci enkripsi berbasis Nitro Wilayah AWS yang tersedia.
**Support untuk enkripsi berbasis Nitro**
| Generasi | Jenis deployment | Wilayah AWS |
| --- | --- | --- |
| Sistem file generasi pertama 1 | Tunggal-AZ 1 Multi-AZ 1 | AS Timur (Virginia N.), AS Timur (Ohio), AS Barat (Oregon), Eropa (Irlandia) |
| Sistem file generasi kedua | Tunggal-AZ 2 Multi-AZ 2 | AS Timur (Virginia N.), AS Timur (Ohio), AS Barat (California N.), AS Barat (Oregon), Eropa (Frankfurt), Eropa (Irlandia), Asia Pasifik (Sydney) |
1 Sistem file generasi pertama yang dibuat pada atau setelah 28 November 2022 mendukung enkripsi in-transit berbasis Nitro dalam daftar. Wilayah AWS
Untuk informasi selengkapnya tentang Wilayah AWS tempat FSx ONTAP tersedia, lihat [Amazon FSx untuk Harga NetApp ONTAP](https://aws.amazon.com/fsx/netapp-ontap/pricing/).
Untuk informasi selengkapnya tentang spesifikasi kinerja FSx untuk sistem file ONTAP, lihat[Dampak kapasitas throughput terhadap performa](performance.md#impact-throughput-cap-performance).
## Mengenkripsi data dalam perjalanan dengan enkripsi berbasis Kerberos
[Jika Anda menggunakan Microsoft Active Directory, Anda dapat menggunakan enkripsi berbasis KerberOS melalui protokol NFS dan SMB untuk mengenkripsi data dalam transit untuk volume anak yang SVMs digabungkan ke Microsoft Active Directory.](ad-integration-ontap.md)
### Mengenkripsi data dalam perjalanan melalui NFS menggunakan Kerberos
Enkripsi data dalam transit menggunakan Kerberos didukung untuk NFSv3 dan protokol. NFSv4 Untuk mengaktifkan enkripsi dalam perjalanan menggunakan Kerberos untuk protokol NFS, lihat [Menggunakan Kerberos dengan NFS untuk keamanan yang kuat](https://docs.netapp.com/us-en/ontap/pdfs/sidebar/Using_Kerberos_with_NFS_for_strong_security.pdf) di Pusat Dokumentasi. NetApp ONTAP
### Mengenkripsi data dalam perjalanan melalui SMB menggunakan Kerberos
Mengenkripsi data dalam perjalanan melalui protokol SMB didukung pada berbagi file yang dipetakan pada instance komputasi yang mendukung protokol SMB 3.0 atau yang lebih baru. Ini termasuk semua Microsoft Windows versi dari Microsoft Windows Server 2012 dan yang lebih baru, dan Microsoft Windows 8 dan yang lebih baru. Ketika diaktifkan, FSx untuk ONTAP secara otomatis mengenkripsi data dalam perjalanan menggunakan enkripsi SMB saat Anda mengakses sistem file Anda tanpa perlu memodifikasi aplikasi Anda.
FSx untuk ONTAP SMB mendukung enkripsi 128 dan 256 bit, yang ditentukan oleh permintaan sesi klien. Untuk deskripsi tingkat enkripsi yang berbeda, lihat bagian *Mengatur tingkat keamanan otentikasi minimum server SMB* dari [Kelola SMB dengan CLI di Pusat Dokumentasi](https://docs.netapp.com/us-en/ontap/pdfs/sidebar/Manage_SMB_with_the_CLI.pdf). NetApp ONTAP
**catatan**
Klien menentukan algoritma enkripsi. Otentikasi NTLM dan Kerberos bekerja dengan enkripsi 128 dan 256 bit. Server SMB FSx untuk ONTAP menerima semua permintaan klien Windows standar, dan kontrol granular ditangani oleh Kebijakan Grup Microsoft atau pengaturan Registri.
Anda menggunakan ONTAP CLI untuk mengelola enkripsi dalam pengaturan transit FSx untuk ONTAP SVMs dan volume. Untuk mengakses NetApp ONTAP CLI, buat sesi SSH pada SVM tempat Anda membuat enkripsi dalam pengaturan transit, seperti yang dijelaskan dalam. [Mengelola SVMs dengan ONTAP CLI](managing-resources-ontap-apps.md#vsadmin-ontap-cli)
Untuk petunjuk tentang cara mengaktifkan enkripsi SMB pada SVM atau volume, lihat. [Mengaktifkan enkripsi data SMB dalam perjalanan](enable-smb-encryption.md)
## Mengenkripsi data dalam perjalanan dengan enkripsi IPsec
FSx untuk ONTAP mendukung penggunaan IPsec protokol dalam mode transportasi untuk memastikan data terus aman dan terenkripsi, saat dalam perjalanan. IPsec menawarkan end-to-end enkripsi data dalam transit antara klien dan FSx untuk sistem file ONTAP untuk semua lalu lintas IP yang didukung - protokol NFS, iSCSI, dan SMB. Dengan IPsec enkripsi, Anda membuat IPsec terowongan antara SVM FSx untuk ONTAP yang dikonfigurasi dengan IPsec diaktifkan, dan IPsec klien yang berjalan pada klien yang terhubung yang mengakses data.
Kami menyarankan Anda menggunakan IPsec untuk mengenkripsi data dalam perjalanan melalui protokol NFS, SMB, dan iSCSI saat mengakses data Anda dari klien yang tidak mendukung [enkripsi berbasis NITRO, dan jika klien Anda dan tidak bergabung ke Active Directory, yang diperlukan untuk enkripsi berbasis](#nitro-encryption) SVMs Kerberos. IPsec enkripsi adalah satu-satunya pilihan yang tersedia untuk mengenkripsi data dalam perjalanan untuk lalu lintas iSCSI ketika klien iSCSI Anda tidak mendukung enkripsi berbasis Nitro.
Untuk IPsec otentikasi, Anda dapat menggunakan kunci pra-bersama (PSKs) atau sertifikat. Jika Anda menggunakan PSK, IPsec klien yang Anda gunakan harus mendukung Internet Key Exchange versi 2 (IKEv2) dengan PSK. Langkah-langkah tingkat tinggi untuk mengonfigurasi IPsec enkripsi pada ONTAP dan klien adalah sebagai berikut: FSx
1. Aktifkan dan konfigurasikan IPsec pada sistem file Anda.
1. Instal dan konfigurasikan IPsec pada klien Anda
1. Konfigurasikan IPsec untuk beberapa akses klien
Untuk informasi selengkapnya tentang cara mengonfigurasi IPsec menggunakan PSK, lihat [Mengkonfigurasi keamanan IP (IPsec) melalui enkripsi kawat](https://docs.netapp.com/us-en/ontap/networking/configure_ip_security_@ipsec@_over_wire_encryption.html) di pusat NetApp ONTAP dokumentasi.
Untuk informasi selengkapnya tentang cara mengonfigurasi IPsec menggunakan sertifikat, lihat[Mengkonfigurasi IPsec menggunakan otentikasi sertifikat](config-ipsec-ca-auth.md).
# Mengaktifkan enkripsi data SMB dalam perjalanan
Secara default, saat Anda membuat SVM, enkripsi SMB dimatikan. Anda dapat mengaktifkan enkripsi SMB yang diperlukan pada saham individu, atau pada SVM, yang menyalakannya untuk semua saham di SVM tersebut.
**catatan**
Ketika enkripsi SMB yang diperlukan diaktifkan pada SVM atau berbagi, klien SMB yang tidak mendukung enkripsi tidak dapat terhubung ke SVM atau berbagi itu.
**Untuk memerlukan enkripsi SMB untuk lalu lintas SMB yang masuk pada SVM**
Gunakan prosedur berikut untuk meminta enkripsi SMB pada SVM menggunakan CLINetApp ONTAP.
1. Untuk terhubung ke titik akhir manajemen SVM dengan SSH, gunakan nama pengguna `vsadmin` dan kata sandi vsadmin yang Anda atur saat membuat SVM. Jika Anda tidak menetapkan kata sandi vsadmin, gunakan nama pengguna `fsxadmin` dan kata sandi fsxadmin. Anda dapat SSH ke SVM dari klien yang berada di VPC yang sama dengan sistem file, menggunakan alamat IP endpoint manajemen atau nama DNS.
```
ssh vsadmin@svm-management-endpoint-ip-address
```
Perintah dengan nilai sampel:
```
ssh vsadmin@198.51.100.10
```
Perintah SSH menggunakan nama DNS endpoint manajemen:
```
ssh vsadmin@svm-management-endpoint-dns-name
```
Perintah SSH menggunakan contoh nama DNS:
```
ssh vsadmin@management.svm-abcdef01234567892fs-08fc3405e03933af0.fsx.us-east-2.aws.com
```
```
Password: vsadmin-password
This is your first recorded login.
FsxIdabcdef01234567892::>
```
1. Gunakan perintah [https://docs.netapp.com/us-en/ontap-cli-9131/vserver-cifs-security-modify.html](https://docs.netapp.com/us-en/ontap-cli-9131/vserver-cifs-security-modify.html)NetApp ONTAPCLI untuk meminta enkripsi SMB untuk lalu lintas SMB masuk ke SVM.
```
vserver cifs security modify -vserver vserver_name -is-smb-encryption-required true
```
1. Untuk berhenti memerlukan enkripsi SMB untuk lalu lintas SMB yang masuk, gunakan perintah berikut.
```
vserver cifs security modify -vserver vserver_name -is-smb-encryption-required false
```
1. Untuk melihat `is-smb-encryption-required` pengaturan saat ini pada SVM, gunakan perintah [https://docs.netapp.com/us-en/ontap-cli-9131/vserver-cifs-security-show.html](https://docs.netapp.com/us-en/ontap-cli-9131/vserver-cifs-security-show.html)NetApp ONTAPCLI:
```
vserver cifs security show -vserver vs1 -fields is-smb-encryption-required
vserver is-smb-encryption-required
-------- -------------------------
vs1 true
```
Untuk informasi selengkapnya tentang mengelola enkripsi SMB di SVM, lihat [Mengonfigurasi enkripsi SMB yang diperlukan di server SMB untuk transfer data melalui SMB](https://docs.netapp.com/us-en/ontap/smb-admin/configure-required-encryption-concept.html) di Pusat Dokumentasi. NetApp ONTAP
**Untuk mengaktifkan enkripsi SMB pada volume**
Gunakan prosedur berikut untuk mengaktifkan enkripsi SMB pada bagian menggunakan NetApp ONTAP CLI.
1. Buat koneksi shell aman (SSH) ke titik akhir manajemen SVM seperti yang dijelaskan dalam. [Mengelola SVMs dengan ONTAP CLI](managing-resources-ontap-apps.md#vsadmin-ontap-cli)
1. Gunakan perintah NetApp ONTAP CLI berikut untuk membuat berbagi SMB baru dan memerlukan enkripsi SMB saat mengakses bagian ini.
```
vserver cifs share create -vserver vserver_name -share-name share_name -path share_path -share-properties encrypt-data
```
Untuk informasi lebih lanjut, lihat [https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__create.html](https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__create.html)di halaman manual NetApp ONTAP CLI Command.
1. Untuk memerlukan enkripsi SMB pada berbagi SMB yang ada, gunakan perintah berikut.
```
vserver cifs share properties add -vserver vserver_name -share-name share_name -share-properties encrypt-data
```
Untuk informasi lebih lanjut, lihat [https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__properties__add.html](https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__properties__add.html)di halaman manual NetApp ONTAP CLI Command.
1. Untuk mematikan enkripsi SMB pada berbagi SMB yang ada, gunakan perintah berikut.
```
vserver cifs share properties remove -vserver vserver_name -share-name share_name -share-properties encrypt-data
```
Untuk informasi lebih lanjut, lihat [https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__properties__remove.html](https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__properties__remove.html)di halaman manual NetApp ONTAP CLI Command.
1. Untuk melihat `is-smb-encryption-required` pengaturan saat ini pada berbagi SMB, gunakan perintah NetApp ONTAP CLI berikut:
```
vserver cifs share properties show -vserver vserver_name -share-name share_name -fields share-properties
```
Jika salah satu properti yang dikembalikan oleh perintah adalah `encrypt-data` properti, maka properti tersebut menentukan bahwa enkripsi SMB harus digunakan saat mengakses share ini.
Untuk informasi lebih lanjut, lihat [https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__properties__show.html](https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__properties__show.html)di halaman manual NetApp ONTAP CLI Command.
# Mengkonfigurasi IPsec menggunakan otentikasi PSK
Jika Anda menggunakan PSK untuk otentikasi, langkah-langkah untuk mengonfigurasi IPsec enkripsi pada ONTAP dan klien adalah sebagai berikut: FSx
1. Aktifkan dan konfigurasikan IPsec pada sistem file Anda.
1. Instal dan konfigurasikan IPsec pada klien Anda
1. Konfigurasikan IPsec untuk beberapa akses klien
Untuk detail tentang mengonfigurasi IPsec menggunakan PSK, lihat [Mengonfigurasi keamanan IP (IPsec) melalui enkripsi kawat](https://docs.netapp.com/us-en/ontap/networking/configure_ip_security_@ipsec@_over_wire_encryption.html) di pusat NetApp ONTAP dokumentasi.
# Mengkonfigurasi IPsec menggunakan otentikasi sertifikat
Topik berikut memberikan instruksi untuk mengkonfigurasi IPsec enkripsi menggunakan otentikasi sertifikat pada sistem file FSx untuk ONTAP dan klien yang menjalankan Libreswan. IPsec Solusi ini menggunakan AWS Certificate Manager dan AWS Private Certificate Authority membuat otoritas sertifikat pribadi dan untuk menghasilkan sertifikat.
Langkah-langkah tingkat tinggi untuk mengonfigurasi IPsec enkripsi menggunakan otentikasi sertifikat FSx untuk sistem file ONTAP dan klien yang terhubung adalah sebagai berikut:
1. Memiliki otoritas sertifikat untuk menerbitkan sertifikat.
1. Menghasilkan dan mengekspor sertifikat CA untuk sistem file dan klien.
1. Instal sertifikat dan konfigurasikan IPsec pada instance klien.
1. Instal sertifikat dan konfigurasikan IPsec pada sistem file Anda.
1. Tentukan database kebijakan keamanan (SPD).
1. Konfigurasikan IPsec untuk beberapa akses klien.
## Membuat dan menginstal sertifikat CA
Untuk otentikasi sertifikat, Anda perlu membuat dan menginstal sertifikat dari otoritas sertifikat pada sistem file ONTAP Anda FSx dan klien yang akan mengakses data pada sistem file Anda. Contoh berikut digunakan AWS Private Certificate Authority untuk mengatur otoritas sertifikat pribadi, dan menghasilkan sertifikat untuk menginstal pada sistem file dan klien. Dengan menggunakan AWS Private Certificate Authority, Anda dapat membuat hierarki root dan subordinate certificate authority (CAs) yang sepenuhnya AWS dihosting untuk penggunaan internal oleh organisasi Anda. Proses ini memiliki lima langkah:
1. Membuat Private Certificate Authority (CA) menggunakan AWS Private CA
1. Keluarkan dan instal sertifikat root pada CA pribadi
1. Minta sertifikat pribadi AWS Certificate Manager untuk sistem file dan klien Anda
1. Ekspor sertifikat untuk sistem file dan klien.
Untuk informasi selengkapnya, lihat [Administrasi CA pribadi](https://docs.aws.amazon.com/privateca/latest/userguide/creating-managing.html) di Panduan AWS Private Certificate Authority Pengguna.
**Untuk membuat CA pribadi root**
1. Saat Anda membuat CA, Anda harus menentukan konfigurasi CA dalam file yang Anda berikan. Perintah berikut menggunakan editor teks Nano untuk membuat `ca_config.txt` file, yang menentukan informasi berikut:
+ Nama algoritme
+ Algoritma penandatanganan yang digunakan CA untuk menandatangani
+ Informasi subjek X.500
```
$ > nano ca_config.txt
```
Editor teks muncul.
1. Edit file dengan spesifikasi untuk CA Anda.
```
{
"KeyAlgorithm":"RSA_2048",
"SigningAlgorithm":"SHA256WITHRSA",
"Subject":{
"Country":"US",
"Organization":"Example Corp",
"OrganizationalUnit":"Sales",
"State":"WA",
"Locality":"Seattle",
"CommonName":"*.ec2.internal"
}
}
```
1. Simpan dan tutup file, keluar dari editor teks. Untuk informasi selengkapnya, lihat [Prosedur untuk membuat CA](https://docs.aws.amazon.com/privateca/latest/userguide/Create-CA-CLI.html) di Panduan AWS Private Certificate Authority Pengguna.
1. Gunakan perintah [create-certificate-authority](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/create-certificate-authority.html) AWS Private CA CLI untuk membuat CA pribadi.
```
~/home > aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config.txt \
--certificate-authority-type "ROOT" \
--idempotency-token 01234567 --region aws-region
```
Jika berhasil, perintah ini mengeluarkan Amazon Resource Name (ARN) dari CA.
```
{
"CertificateAuthorityArn": "arn:aws:acm-pca:aws-region:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012"
}
```
**Untuk membuat dan menginstal sertifikat untuk root pribadi CA (AWS CLI)**
1. Buat permintaan penandatanganan sertifikat (CSR) menggunakan perintah [https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate-authority-csr.html](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate-authority-csr.html) AWS CLI.
```
$ aws acm-pca get-certificate-authority-csr \
--certificate-authority-arn arn:aws:acm-pca:aws-region:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012 \
--output text \
--endpoint https://acm-pca.aws-region.amazonaws.com \
--region eu-west-1 > ca.csr
```
File yang dihasilkan`ca.csr`, file PEM yang dikodekan dalam format base64, memiliki tampilan sebagai berikut.
```
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
```
Untuk informasi selengkapnya, lihat [Menginstal sertifikat CA root](https://docs.aws.amazon.com/privateca/latest/userguide/PCACertInstall.html#InstallRoot) di Panduan AWS Private Certificate Authority Pengguna.
1. Gunakan [https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html) AWS CLI perintah untuk menerbitkan dan menginstal sertifikat root pada CA pribadi Anda.
```
$ aws acm-pca issue-certificate \
--certificate-authority-arn arn:aws:acm-pca:aws-region:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012 \
--csr file://ca.csr \
--signing-algorithm SHA256WITHRSA \
--template-arn arn:aws:acm-pca:::template/RootCACertificate/V1 \
--validity Value=3650,Type=DAYS --region aws-region
```
1. Unduh sertifikat root menggunakan [https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate.html) AWS CLI perintah.
```
$ aws acm-pca get-certificate \
--certificate-authority-arn arn:aws:acm-pca:aws-region:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012 \
--certificate-arn arn:aws:acm-pca:aws-region:486768734100:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/abcdef0123456789abcdef0123456789 \
--output text --region aws-region > rootCA.pem
```
1. Instal sertifikat root pada CA pribadi Anda menggunakan [https://docs.aws.amazon.com/cli/latest/reference/acm-pca/import-certificate-authority-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/import-certificate-authority-certificate.html) AWS CLI perintah.
```
$ aws acm-pca import-certificate-authority-certificate \
--certificate-authority-arn arn:aws:acm-pca:aws-region:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012 \
--certificate file://rootCA.pem --region aws-region
```
**Menghasilkan dan mengekspor sistem file dan sertifikat klien**
1. Gunakan [https://docs.aws.amazon.com/cli/latest/reference/acm/request-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm/request-certificate.html) AWS CLI perintah untuk meminta AWS Certificate Manager sertifikat untuk digunakan pada sistem file dan klien Anda.
```
$ aws acm request-certificate \
--domain-name *.ec2.internal \
--idempotency-token 12345 \
--region aws-region \
--certificate-authority-arn arn:aws:acm-pca:aws-region:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012
```
Jika permintaan berhasil, ARN dari sertifikat yang dikeluarkan dikembalikan.
1. Untuk keamanan, Anda harus menetapkan frasa sandi untuk kunci pribadi saat mengekspornya. Buat frasa sandi dan simpan dalam file bernama `passphrase.txt`
1. Gunakan [https://docs.aws.amazon.com/cli/latest/reference/acm/export-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm/export-certificate.html) AWS CLI perintah untuk mengekspor sertifikat pribadi yang dikeluarkan sebelumnya. File yang diekspor berisi sertifikat, rantai sertifikat, dan kunci RSA 2048-bit pribadi terenkripsi yang terkait dengan kunci publik yang disematkan dalam sertifikat. Untuk keamanan, Anda harus menetapkan frasa sandi untuk kunci pribadi saat mengekspornya. Contoh berikut adalah untuk instance Linux EC2.
```
$ aws acm export-certificate \
--certificate-arn arn:aws:acm:aws-region:111122223333:certificate/12345678-1234-1234-1234-123456789012 \
--passphrase $(cat passphrase.txt | base64) --region aws-region > exported_cert.json
```
1. Gunakan `jq` perintah berikut untuk mengekstrak kunci pribadi dan sertifikat dari respons JSON.
```
$ passphrase=$(cat passphrase.txt | base64)
cat exported_cert.json | jq -r .PrivateKey > prv.key
cat exported_cert.json | jq -r .Certificate > cert.pem
```
1. Gunakan `openssl` perintah berikut untuk mendekripsi kunci pribadi dari respons JSON. Setelah memasukkan perintah, Anda diminta untuk frasa sandi.
```
$ openssl rsa -in prv.key -passin pass:$passphrase -out decrypted.key
```
## Menginstal dan mengonfigurasi Libreswan pada klien Amazon IPsec Linux 2
Bagian berikut memberikan petunjuk untuk menginstal dan mengonfigurasi Libreswan IPSec pada instans Amazon EC2 yang menjalankan Amazon Linux 2.
**Untuk menginstal dan mengkonfigurasi Libreswan**
1. Connect ke instans EC2 Anda menggunakan SSH. Untuk petunjuk spesifik tentang cara melakukannya, lihat [Connect ke instans Linux menggunakan klien SSH](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AccessingInstancesLinux.html#AccessingInstancesLinuxSSHClient) di Panduan Pengguna Amazon Elastic Compute Cloud untuk Instans Linux.
1. Jalankan perintah berikut untuk menginstal`libreswan`:
```
$ sudo yum install libreswan
```
1. (Opsional) Saat memverifikasi IPsec di langkah selanjutnya, properti ini mungkin ditandai tanpa pengaturan ini. Kami menyarankan untuk menguji pengaturan Anda terlebih dahulu tanpa pengaturan ini. Jika koneksi Anda bermasalah, kembali ke langkah ini dan buat perubahan berikut.
Setelah instalasi selesai, gunakan editor teks pilihan Anda untuk menambahkan entri berikut ke file. `/etc/sysctl.conf`
```
net.ipv4.ip_forward=1
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.secure_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv4.conf.lo.accept_redirects = 0
net.ipv4.conf.lo.send_redirects = 0
net.ipv4.conf.all.rp_filter = 0
net.ipv4.conf.default.rp_filter = 0
net.ipv4.conf.eth0.rp_filter = 0
```
Simpan perubahan dan keluar dari editor teks.
1. Terapkan perubahan.
```
$ sudo sysctl -p
```
1. Verifikasi IPsec konfigurasi.
```
$ sudo ipsec verify
```
Verifikasi bahwa versi yang `Libreswan` Anda instal sedang berjalan.
1. Inisialisasi database IPsec NSS.
```
$ sudo ipsec checknss
```
**Untuk menginstal sertifikat pada klien**
1. Salin [sertifikat yang Anda](#generate-certificate) buat untuk klien ke direktori kerja pada instans EC2. Anda
1. Ekspor sertifikat yang dihasilkan sebelumnya ke dalam format yang kompatibel dengan`libreswan`.
```
$ openssl pkcs12 -export -in cert.pem -inkey decrypted.key \
-certfile rootCA.pem -out certkey.p12 -name fsx
```
1. Impor kunci yang diformat ulang, berikan frasa sandi saat diminta.
```
$ sudo ipsec import certkey.p12
```
1. Buat file IPsec konfigurasi menggunakan editor teks pilihan.
```
$ sudo cat /etc/ipsec.d/nfs.conf
```
Tambahkan entri berikut ke file konfigurasi:
```
conn fsxn
authby=rsasig
left=172.31.77.6
right=198.19.254.13
auto=start
type=transport
ikev2=insist
keyexchange=ike
ike=aes256-sha2_384;dh20
esp=aes_gcm_c256
leftcert=fsx
leftrsasigkey=%cert
leftid=%fromcert
rightid=%fromcert
rightrsasigkey=%cert
```
Anda akan mulai IPsec pada klien setelah mengkonfigurasi IPsec pada sistem file Anda.
## Mengkonfigurasi IPsec pada sistem file Anda
Bagian ini memberikan petunjuk tentang menginstal sertifikat pada sistem file FSx ONTAP Anda, dan mengonfigurasi IPsec.
**Untuk menginstal sertifikat pada sistem file Anda**
1. Salin sertifikat root (`rootCA.pem)`, sertifikat klien (`cert.pem`) dan file kunci (`decrypted.key`) yang didekripsi ke sistem file Anda. Anda perlu mengetahui frasa sandi untuk sertifikat.
1. Untuk mengakses ONTAP CLI, buat sesi SSH pada port manajemen Amazon FSx untuk sistem file NetApp ONTAP atau SVM dengan menjalankan perintah berikut. Ganti `management_endpoint_ip` dengan alamat IP port manajemen sistem file.
```
[~]$ ssh fsxadmin@management_endpoint_ip
```
Untuk informasi selengkapnya, lihat [Mengelola sistem file dengan ONTAP CLI](managing-resources-ontap-apps.md#fsxadmin-ontap-cli).
1. Gunakan **cat** pada klien (bukan pada sistem file Anda) untuk daftar konten`rootCA.pem`, `cert.pem` dan `decrypted.key` file sehingga Anda dapat menyalin output dari setiap file dan menempelkannya ketika diminta dalam langkah-langkah berikut.
```
$ > cat cert.pem
```
Salin isi sertifikat.
1. Anda harus menginstal semua sertifikat CA yang digunakan selama autentikasi bersama, termasuk sisi OnTAP dan sisi klien CAs, ke manajemen ONTAP sertifikat kecuali sudah diinstal (seperti halnya Root-CA yang ditandatangani sendiri ONTAP).
Gunakan perintah `security certificate install` NetApp CLI sebagai berikut untuk menginstal sertifikat klien:
```
FSxID123:: > security certificate install -vserver dr -type client -cert-name ipsec-client-cert
```
```
Please enter Certificate: Press when done
```
Tempel konten `cert.pem` file yang Anda salin sebelumnya dan tekan Enter.
```
Please enter Private Key: Press when done
```
Tempel di isi `decrypted.key` file, dan tekan enter.
```
Do you want to continue entering root and/or intermediate certificates {y|n}:
```
Masukkan `n` untuk menyelesaikan memasukkan sertifikat klien.
1. Buat dan instal sertifikat untuk digunakan oleh SVM. Penerbit CA sertifikat ini harus sudah diinstal ONTAP dan ditambahkan ke IPsec.
Gunakan perintah berikut untuk menginstal sertifikat root.
```
FSxID123:: > security certificate install -vserver dr -type server-ca -cert-name ipsec-ca-cert
```
```
Please enter Certificate: Press when done
```
Tempel di isi `rootCA.pem` file, dan tekan enter.
1. Untuk memastikan bahwa CA yang diinstal berada dalam jalur pencarian IPsec CA selama otentikasi, tambahkan manajemen ONTAP sertifikat CAs ke IPsec modul menggunakan perintah “security ipsec ca-certificate add”.
Masukkan perintah berikut untuk menambahkan sertifikat root.
```
FSxID123:: > security ipsec ca-certificate add -vserver dr -ca-certs ipsec-ca-cert
```
1. Masukkan perintah berikut untuk membuat IPsec kebijakan yang diperlukan dalam database kebijakan keamanan (SPD).
```
security ipsec policy create -vserver dr -name policy-name -local-ip-subnets 198.19.254.13/32 -remote-ip-subnets 172.31.0.0/16 -auth-method PKI -action ESP_TRA -cipher-suite SUITEB_GCM256 -cert-name ipsec-client-cert -local-identity "CN=*.ec2.internal" -remote-identity "CN=*.ec2.internal"
```
1. Gunakan perintah berikut untuk menunjukkan IPsec kebijakan untuk mengonfirmasi sistem file.
```
FSxID123:: > security ipsec policy show -vserver dr -instance
Vserver: dr
Policy Name: promise
Local IP Subnets: 198.19.254.13/32
Remote IP Subnets: 172.31.0.0/16
Local Ports: 0-0
Remote Ports: 0-0
Protocols: any
Action: ESP_TRA
Cipher Suite: SUITEB_GCM256
IKE Security Association Lifetime: 86400
IPsec Security Association Lifetime: 28800
IPsec Security Association Lifetime (bytes): 0
Is Policy Enabled: true
Local Identity: CN=*.ec2.internal
Remote Identity: CN=*.ec2.internal
Authentication Method: PKI
Certificate for Local Identity: ipsec-client-cert
```
## IPsec Mulai dari klien
Sekarang IPsec dikonfigurasi pada kedua FSx untuk sistem file ONTAP dan klien, Anda dapat mulai IPsec pada klien.
1. Connect ke sistem klien Anda menggunakan SSH.
1. Mulai IPsec.
```
$ sudo ipsec start
```
1. Periksa status IPsec.
```
$ sudo ipsec status
```
1. Pasang volume pada sistem file Anda.
```
$ sudo mount -t nfs 198.19.254.13:/benchmark /home/ec2-user/acm/dr
```
1. Verifikasi IPsec pengaturan dengan menunjukkan koneksi terenkripsi pada sistem file FSx ONTAP Anda.
```
FSxID123:: > security ipsec show-ikesa -node FsxId123
FsxId08ac16c7ec2781a58::> security ipsec show-ikesa -node FsxId08ac16c7ec2781a58-01
Policy Local Remote
Vserver Name Address Address Initator-SPI State
----------- ------ --------------- --------------- ---------------- -----------
dr policy-name
198.19.254.13 172.31.77.6 551c55de57fe8976 ESTABLISHED
fsx policy-name
198.19.254.38 172.31.65.193 4fd3f22c993e60c5 ESTABLISHED
2 entries were displayed.
```
## Menyiapkan IPsec untuk banyak klien
Ketika sejumlah kecil klien perlu memanfaatkan IPsec, menggunakan entri SPD tunggal untuk setiap klien sudah cukup. Namun, ketika ratusan atau bahkan ribuan klien perlu memanfaatkan IPsec, kami sarankan Anda menggunakan IPsec beberapa konfigurasi klien.
FSx untuk ONTAP mendukung menghubungkan beberapa klien di banyak jaringan ke satu alamat IP SVM dengan IPsec diaktifkan. Anda dapat melakukannya dengan menggunakan `subnet` konfigurasi atau `Allow all clients` konfigurasi, yang dijelaskan dalam prosedur berikut:
**Untuk mengkonfigurasi IPsec untuk beberapa klien menggunakan konfigurasi subnet**
Untuk memungkinkan semua klien pada subnet tertentu (192.168.134.0/24 misalnya) untuk terhubung ke alamat IP SVM tunggal menggunakan entri kebijakan SPD tunggal, Anda harus menentukan dalam bentuk subnet. `remote-ip-subnets` Selain itu, Anda harus menentukan `remote-identity` bidang dengan identitas sisi klien yang benar.
**penting**
Saat menggunakan otentikasi sertifikat, setiap klien dapat menggunakan sertifikat unik mereka sendiri atau sertifikat bersama untuk mengautentikasi. FSx untuk ONTAP IPsec memeriksa validitas sertifikat berdasarkan yang CAs diinstal pada toko kepercayaan lokalnya. FSx untuk ONTAP juga mendukung pemeriksaan daftar pencabutan sertifikat (CRL).
1. Untuk mengakses ONTAP CLI, buat sesi SSH pada port manajemen Amazon FSx untuk sistem file NetApp ONTAP atau SVM dengan menjalankan perintah berikut. Ganti `management_endpoint_ip` dengan alamat IP port manajemen sistem file.
```
[~]$ ssh fsxadmin@management_endpoint_ip
```
Untuk informasi selengkapnya, lihat [Mengelola sistem file dengan ONTAP CLI](managing-resources-ontap-apps.md#fsxadmin-ontap-cli).
1. Gunakan perintah `security ipsec policy create` NetApp ONTAP CLI sebagai berikut, ganti *sample* nilai dengan nilai spesifik Anda.
```
FsxId123456::> security ipsec policy create -vserver svm_name -name policy_name \
-local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 192.168.134.0/24 \
-local-ports 2049 -protocols tcp -auth-method PSK \
-cert-name my_nfs_server_cert -local-identity ontap_side_identity \
-remote-identity client_side_identity
```
**Untuk mengkonfigurasi IPsec untuk beberapa klien menggunakan konfigurasi izinkan semua klien**
Untuk mengizinkan klien mana pun, terlepas dari alamat IP sumbernya, untuk terhubung ke alamat IP IPsec berkemampuan SVM, gunakan kartu `0.0.0.0/0` liar saat menentukan bidang. `remote-ip-subnets`
Selain itu, Anda harus menentukan `remote-identity` bidang dengan identitas sisi klien yang benar. Untuk otentikasi sertifikat, Anda dapat memasukkan`ANYTHING`.
Juga, ketika kartu liar 0.0.0.0/0 digunakan, Anda harus mengonfigurasi nomor port lokal atau jarak jauh tertentu untuk digunakan. Misalnya, port NFS 2049.
1. Untuk mengakses ONTAP CLI, buat sesi SSH pada port manajemen Amazon FSx untuk sistem file NetApp ONTAP atau SVM dengan menjalankan perintah berikut. Ganti `management_endpoint_ip` dengan alamat IP port manajemen sistem file.
```
[~]$ ssh fsxadmin@management_endpoint_ip
```
Untuk informasi selengkapnya, lihat [Mengelola sistem file dengan ONTAP CLI](managing-resources-ontap-apps.md#fsxadmin-ontap-cli).
1. Gunakan perintah `security ipsec policy create` NetApp ONTAP CLI sebagai berikut, ganti *sample* nilai dengan nilai spesifik Anda.
```
FsxId123456::> security ipsec policy create -vserver svm_name -name policy_name \
-local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 0.0.0.0/0 \
-local-ports 2049 -protocols tcp -auth-method PSK \
-cert-name my_nfs_server_cert -local-identity ontap_side_identity \
-local-ports 2049 -remote-identity client_side_identity
```