As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Proteção de dados na Amazon FSx para NetApp ONTAP
O [modelo de responsabilidade AWS compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) se aplica à proteção de dados na Amazon FSx para NetApp ONTAP. Conforme descrito neste modelo, AWS é responsável por proteger a infraestrutura global que executa todos os Nuvem AWS. Você é responsável por manter o controle sobre o conteúdo hospedado nessa infraestrutura. Você também é responsável pelas tarefas de configuração e gerenciamento de segurança dos Serviços da AWS que usa. Para saber mais sobre a privacidade de dados, consulte as [Data Privacy FAQ](https://aws.amazon.com/compliance/data-privacy-faq/). Para saber mais sobre a proteção de dados na Europa, consulte a postagem do blog [AWS Shared Responsibility Model and RGPD](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) no *Blog de segurança da AWS *.
Para fins de proteção de dados, recomendamos que você proteja Conta da AWS as credenciais e configure usuários individuais com Centro de Identidade do AWS IAM ou AWS Identity and Access Management (IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:
+ Use uma autenticação multifator (MFA) com cada conta.
+ Use SSL/TLS para se comunicar com AWS os recursos. Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Configure a API e o registro de atividades do usuário com AWS CloudTrail. Para obter informações sobre o uso de CloudTrail trilhas para capturar AWS atividades, consulte Como [trabalhar com CloudTrail trilhas](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) no *Guia AWS CloudTrail do usuário*.
+ Use soluções de AWS criptografia, juntamente com todos os controles de segurança padrão Serviços da AWS.
+ Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e proteger dados sensíveis armazenados no Amazon S3.
+ Se você precisar de módulos criptográficos validados pelo FIPS 140-3 ao acessar AWS por meio de uma interface de linha de comando ou de uma API, use um endpoint FIPS. Para saber mais sobre os endpoints FIPS disponíveis, consulte [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
É altamente recomendável que nunca sejam colocadas informações confidenciais ou sensíveis, como endereços de e-mail de clientes, em tags ou campos de formato livre, como um campo **Nome**. Isso inclui quando você trabalha com a Amazon FSx ou outra Serviços da AWS pessoa usando o console AWS CLI, a API ou AWS SDKs. Quaisquer dados inseridos em tags ou em campos de texto de formato livre usados para nomes podem ser usados para logs de faturamento ou de diagnóstico. Se você fornecer um URL para um servidor externo, é fortemente recomendável que não sejam incluídas informações de credenciais no URL para validar a solicitação nesse servidor.
## Criptografia de dados FSx para ONTAP
O Amazon FSx for NetApp ONTAP oferece suporte à criptografia de dados em repouso e à criptografia de dados em trânsito. A criptografia de dados em repouso é ativada automaticamente ao criar um sistema de FSx arquivos da Amazon. O Amazon FSx for NetApp ONTAP oferece suporte à criptografia baseada em Kerberos em trânsito pelos protocolos NFS e SMB se você estiver acessando dados em uma Máquina Virtual de Armazenamento (SVM) associada a um Active Directory ou a um domínio usando o Lightweight Directory Access Protocol (LDAP).
### Quando usar a criptografia
Se sua organização estiver sujeita a políticas corporativas ou regulatórias que exigem criptografia de dados e metadados em repouso, seus dados serão automaticamente criptografados em repouso. É recomendável também que você habilite a criptografia de dados em trânsito montando seu sistema de arquivos com o uso da criptografia de dados em trânsito.
Para obter mais informações sobre criptografia de dados com a Amazon FSx for NetApp ONTAP, consulte [Criptografia de dados em repouso](encryption-at-rest.md) e. [Criptografia de dados em trânsito](encryption-in-transit.md)
# Criptografia de dados em repouso
Todos os sistemas de arquivos e backups do Amazon FSx for NetApp ONTAP são criptografados em repouso com chaves gerenciadas usando AWS Key Management Service (AWS KMS). Os dados são criptografados automaticamente antes de serem gravados no sistema de arquivos e automaticamente decriptografados à medida que são lidos. Todos os backups são criptografados automaticamente na criação e descriptografados automaticamente quando o backup é restaurado em um novo volume. Esses processos são gerenciados de forma transparente pela Amazon FSx, para que você não precise modificar seus aplicativos.
A Amazon FSx usa um algoritmo de criptografia AES-256 padrão do setor para criptografar dados e metadados da Amazon FSx em repouso. Para obter mais informações, consulte [Conceitos básicos de criptografia](https://docs.aws.amazon.com/kms/latest/developerguide/crypto-intro.html) no *Guia do desenvolvedor do AWS Key Management Service *.
**nota**
A infraestrutura de gerenciamento de AWS chaves usa algoritmos criptográficos aprovados pelo Federal Information Processing Standards (FIPS) 140-2. A infraestrutura é consistente com as recomendações 800-57 do National Institute of Standards and Technology (NIST).
## Como a Amazon FSx usa AWS KMS
A Amazon FSx se integra ao gerenciamento AWS KMS de chaves. A Amazon FSx usa chaves KMS para criptografar seu sistema de arquivos e qualquer backup de volume. Você escolhe a chave do KMS usada para criptografar e decriptografar sistemas de arquivos (dados e metadados). É possível habilitar, desabilitar ou revogar as concessões nessa chave do KMS. Essa chave do KMS pode ser de um dos seguintes dois tipos:
+ **chave do KMS gerenciada pela AWS**: essa é a chave do KMS padrão e de uso gratuito.
+ **chave do KMS gerenciada pelo cliente**: essa é a chave do KMS mais flexível em termos de uso, pois é possível configurar suas políticas de chaves e concessões para vários usuários ou serviços. Para obter mais informações sobre a criação de chaves KMS, consulte [Criação de chaves](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) no *Guia do AWS Key Management Service desenvolvedor*.
**Importante**
A Amazon FSx aceita somente chaves KMS de criptografia simétrica. Você não pode usar chaves KMS assimétricas com a Amazon. FSx
Se você usa uma chave do KMS gerenciada pelo cliente como sua chave do KMS de criptografia e decriptografia de dados de arquivos, pode habilitar a rotação de chaves. Ao habilitar a rotação de chaves, o AWS KMS gira sua chave automaticamente uma vez por ano. Além disso, com uma chave do KMS gerenciada pelo cliente, você pode escolher quando desabilitar, reabilitar, excluir ou revogar o acesso à sua KMS a qualquer momento. Para obter mais informações, consulte [Rotação de AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html) e [Como ativar e desativar chaves](https://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys.html) no *Guia do desenvolvedor do AWS Key Management Service *.
## FSx Políticas-chave da Amazon para AWS KMS
Políticas de chaves são a principal maneira de controlar o acesso a chaves do KMS. Para obter mais informações sobre as políticas de chaves, consulte [Using key policies in AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) no *Guia do desenvolvedor do AWS Key Management Service *.A lista a seguir descreve todas as permissões AWS KMS relacionadas suportadas pela Amazon FSx para sistemas de arquivos e backups criptografados em repouso:
+ **kms:Encrypt**: (opcional) criptografa texto não criptografado em texto cifrado. Essa permissão está incluída na política de chaves padrão.
+ **kms:Decrypt**: (obrigatório) descriptografa texto cifrado. O texto cifrado é o texto simples que já foi criptografado. Essa permissão está incluída na política de chaves padrão.
+ **kms: ReEncrypt** — (Opcional) Criptografa os dados no lado do servidor com um novo AWS KMS key, sem expor o texto simples dos dados no lado do cliente. Primeiro os dados são descriptografados e, depois, recriptografados. Essa permissão está incluída na política de chaves padrão.
+ **kms: GenerateDataKeyWithoutPlaintext** — (Obrigatório) Retorna uma chave de criptografia de dados criptografada sob uma chave KMS. Essa permissão está incluída na política de chaves padrão em **kms: GenerateDataKey \$1**.
+ **kms: CreateGrant** — (Obrigatório) Adiciona uma concessão a uma chave para especificar quem pode usar a chave e sob quais condições. Concessões são mecanismos de permissão alternativos para políticas de chaves. Para obter mais informações sobre concessões, consulte [Usar concessões ](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) no *Guia do desenvolvedor do AWS Key Management Service *. Essa permissão está incluída na política de chaves padrão.
+ **kms: DescribeKey** — (Obrigatório) Fornece informações detalhadas sobre a chave KMS especificada. Essa permissão está incluída na política de chaves padrão.
+ **kms: ListAliases** — (Opcional) Lista todos os aliases de chave na conta. Quando você usa o console para criar um sistema de arquivos criptografado, essa permissão preenche a lista de chaves do KMS. Recomendamos usar essa permissão para proporcionar a melhor experiência do usuário. Essa permissão está incluída na política de chaves padrão.
# Criptografia de dados em trânsito
Este tópico explica as diferentes opções disponíveis para criptografar os dados do arquivo enquanto eles estão em trânsito entre um sistema de arquivos FSx for ONTAP e clientes conectados. Ele também oferece orientação para ajudar você a escolher qual o método de criptografia mais adequado para seu fluxo de trabalho.
Todos os dados que fluem Regiões da AWS pela rede AWS global são criptografados automaticamente na camada física antes de saírem das instalações AWS protegidas. Todo o tráfego entre as zonas de disponibilidade é criptografado. Camadas adicionais de criptografia, inclusive as listadas nesta seção, fornecem mais proteções. Para obter mais informações sobre como AWS fornece proteção para o fluxo de dados Regiões da AWS, zonas disponíveis e instâncias, consulte [Criptografia em trânsito no](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit) Guia do usuário do Amazon Elastic Compute Cloud para instâncias Linux.
O Amazon FSx for NetApp ONTAP oferece suporte aos seguintes métodos para criptografar dados em trânsito entre FSx os sistemas de arquivos ONTAP e os clientes conectados:
+ Criptografia automática baseada em Nitro em todos os protocolos e clientes com suporte em execução nos tipos de instância do Amazon EC2 para [ Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit) e [Windows](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/data-protection.html#encryption-transit).
+ Criptografia baseada em Kerberos com os protocolos NFS e SMB.
+ IPseccriptografia baseada em protocolos NFS, iSCSI e SMB
Todos os métodos suportados para criptografar dados em trânsito usam algoritmos criptográficos AES-256 padrão do setor que fornecem criptografia de força corporativa.
**Topics**
+ [Como escolher um método para criptografar dados em trânsito](#choosing-encryption-in-transit)
+ [Criptografando dados em trânsito com o AWS Nitro System](#nitro-encryption)
+ [Criptografia de dados em trânsito com criptografia baseada em Kerberos](#kerberos-encryption)
+ [Criptografando dados em trânsito com IPsec criptografia](#ipsec-encryption)
+ [Habilitar a criptografia de SMB para dados em trânsito](enable-smb-encryption.md)
+ [Configurando IPsec usando a autenticação PSK](config-ipsec-psk-auth.md)
+ [Configurando IPsec usando a autenticação de certificado](config-ipsec-ca-auth.md)
## Como escolher um método para criptografar dados em trânsito
Esta seção fornece informações que podem ajudar você a decidir qual dos métodos de criptografia em trânsito com suporte é melhor para seu fluxo de trabalho. Consulte esta seção novamente ao explorar as opções com suporte descritas detalhadamente nas seções a seguir.
Há vários fatores a serem considerados ao escolher como você criptografará os dados em trânsito entre o sistema de arquivos FSx for ONTAP e os clientes conectados. Esses fatores incluem:
+ O em Região da AWS que seu sistema de arquivos FSx for ONTAP está sendo executado.
+ O tipo de instância no qual o cliente está sendo executado.
+ A localização do cliente que está acessando o sistema de arquivos.
+ Requisitos de performance da rede.
+ O protocolo de dados que você deseja criptografar.
+ Se estiver usando o Microsoft Active Directory.
**Região da AWS**
A configuração em Região da AWS que seu sistema de arquivos está sendo executado determina se você pode ou não usar a criptografia baseada no Amazon Nitro. Para obter mais informações, consulte [Criptografando dados em trânsito com o AWS Nitro System](#nitro-encryption).
**Tipo de instância do cliente**
Você poderá usar a criptografia baseada no Amazon Nitro se o cliente que está acessando o sistema de arquivos estiver sendo executado em qualquer um dos tipos de instância Mac, [Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit) ou [Windows](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/data-protection.html#encryption-transit) com suporte do Amazon EC2 e o fluxo de trabalho atender a todos os outros requisitos de uso da [criptografia baseada em Nitro](#nitro-encryption). Não há requisitos de tipo de instância de cliente para usar o Kerberos ou IPsec a criptografia.
**Localização do cliente**
A localização do cliente que acessa dados em relação à localização do sistema de arquivos afeta quais métodos de criptografia em trânsito estão disponíveis para uso. Você poderá usar qualquer um dos métodos de criptografia com suporte se o cliente e o sistema de arquivos estiverem localizados na mesma VPC. O mesmo acontece se o cliente e o sistema de arquivos estiverem localizados em peering VPCs, desde que o tráfego não passe por um dispositivo ou serviço de rede virtual, como um gateway de trânsito. A criptografia baseada em Nitro não será uma opção disponível se o cliente não estiver na mesma VPC ou na VPC emparelhada, ou se o tráfego passar por um dispositivo ou serviço de rede virtual.
**desempenho de rede**
O uso da criptografia baseada no Amazon Nitro não tem impacto na performance da rede. Isso ocorre porque as instâncias com suporte do Amazon EC2 utilizam os recursos de descarregamento do hardware Nitro System subjacente para criptografar automaticamente o tráfego em trânsito entre instâncias.
O uso do Kerberos ou da IPsec criptografia tem um impacto no desempenho da rede. Isso ocorre porque esses dois métodos de criptografia são baseados em software, o que exige que o cliente e o servidor usem recursos de computação para criptografar e decriptografar o tráfego em trânsito.
**Protocolo de dados**
Você pode usar criptografia e IPsec criptografia baseadas no Amazon Nitro com todos os protocolos compatíveis — NFS, SMB e iSCSI. Você pode usar a criptografia Kerberos com os protocolos NFS e SMB (com um Active Directory).
** Active Directory**
Se você estiver usando o Microsoft Active Directory, poderá usar a [criptografia Kerberos](#kerberos-encryption) nos protocolos NFS e SMB.
Use o diagrama a seguir como ajuda para decidir qual método de criptografia em trânsito usar.
![\[Fluxograma mostrando qual método de criptografia em trânsito usar com base em cinco pontos de decisão.\]](http://docs.aws.amazon.com/pt_br/fsx/latest/ONTAPGuide/images/fsx-ontap-encrypt-n-transit-decision-flow.png)
IPsec a criptografia é a única opção disponível quando todas as condições a seguir se aplicam ao seu fluxo de trabalho:
+ Você está usando o protocolo NFS, SMB ou iSCSI.
+ Seu fluxo de trabalho não dá suporte ao uso da criptografia baseada no Amazon Nitro.
+ Você não está usando um domínio do Microsoft Active Directory.
## Criptografando dados em trânsito com o AWS Nitro System
Com a criptografia baseada em Nitro, os dados em trânsito são criptografados automaticamente quando os clientes que acessam seus sistemas de arquivos estão executando em tipos de instância Linux [ou](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/data-protection.html#encryption-transit) Windows compatíveis do Amazon [EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit), onde estão disponíveis Regiões da AWS FSx no ONTAP.
O uso da criptografia baseada no Amazon Nitro não tem impacto na desempenho da rede. Isso ocorre porque as instâncias com suporte do Amazon EC2 utilizam os recursos de descarregamento do hardware Nitro System subjacente para criptografar automaticamente o tráfego em trânsito entre instâncias.
A criptografia baseada em Nitro é habilitada automaticamente quando os tipos de instância de cliente com suporte estão localizados na mesma Região da AWS e na mesma VPC ou em uma VPC emparelhada com a VPC do sistema de arquivos. Além disso, se o cliente estiver em uma VPC emparelhada, os dados não poderão passar por um dispositivo ou serviço de rede virtual (como um gateway de trânsito) para que a criptografia baseada em Nitro seja habilitada automaticamente. Para obter mais informações sobre criptografia baseada em Nitro, consulte a seção Criptografia em trânsito do Guia do usuário do Amazon EC2 para os tipos de instância do [Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit) ou [Windows](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/data-protection.html#encryption-transit).
A tabela a seguir detalha em Regiões da AWS que a criptografia baseada em Nitro está disponível.
**Compatibilidade com criptografia baseada em Nitro**
| Geração | Tipos de implantação | Região da AWS |
| --- | --- | --- |
| Sistemas de arquivos de primeira geração1 | single-AZ 1 multi-AZ 1 | Leste dos EUA (Norte da Virgínia), Leste dos EUA (Ohio), Oeste dos EUA (Oregon), Europa (Irlanda) |
| Sistemas de arquivos de segunda geração | single-AZ 2 multi-AZ 2 | Leste dos EUA (Norte da Virgínia), Leste dos EUA (Ohio), Oeste dos EUA (Norte da Califórnia), Oeste dos EUA (Oregon), Europa (Frankfurt), Europa (Irlanda), Ásia-Pacífico (Sydney) |
1 Os sistemas de arquivos de primeira geração criados a partir de 28 de novembro de 2022 são compatíveis com criptografia em trânsito baseada em Nitro nas Regiões da AWS listadas.
Para obter mais informações sobre Regiões da AWS onde FSx o ONTAP está disponível, consulte [Amazon FSx for NetApp ONTAP Pricing.](https://aws.amazon.com/fsx/netapp-ontap/pricing/)
Para obter mais informações sobre as especificações de desempenho dos sistemas de FSx arquivos ONTAP, consulte[Impacto da capacidade de throughput na desempenho](performance.md#impact-throughput-cap-performance).
## Criptografia de dados em trânsito com criptografia baseada em Kerberos
Se você estiver usando o Microsoft Active Directory, poderá usar a criptografia baseada em Kerberos nos protocolos NFS e SMB para criptografar dados em trânsito para volumes secundários [associados](ad-integration-ontap.md) a um Microsoft Active Directory. SVMs
### Criptografia de dados em trânsito pelo NFS usando Kerberos
A criptografia de dados em trânsito usando Kerberos tem suporte e protocolos NFSv3 . NFSv4 Para habilitar a criptografia em trânsito usando o Kerberos com o protocolo NFS, consulte [Uso do Kerberos com NFS para segurança forte](https://docs.netapp.com/us-en/ontap/pdfs/sidebar/Using_Kerberos_with_NFS_for_strong_security.pdf) no Centro de documentação do NetApp ONTAP
### Criptografia de dados em trânsito pelo SMB usando Kerberos
Há suporte para criptografia de dados em trânsito pelo protocolo SMB nos compartilhamentos de arquivos mapeados em uma instância de computação compatível com o protocolo SMB 3.0 ou mais recente. Isso inclui todas as versões do Microsoft Windows do Microsoft Windows Server 2012 e posterior e do Microsoft Windows 8 e posterior. Quando ativado, o FSx for ONTAP criptografa automaticamente os dados em trânsito usando a criptografia SMB à medida que você acessa seu sistema de arquivos sem a necessidade de modificar seus aplicativos.
FSx para ONTAP, o SMB suporta criptografia de 128 e 256 bits, que é determinada pela solicitação da sessão do cliente. Para obter descrições dos diferentes níveis de criptografia, consulte a seção *Definir o nível mínimo de segurança de autenticação do servidor SMB* em [Gerenciar SMB com a CLI](https://docs.netapp.com/us-en/ontap/pdfs/sidebar/Manage_SMB_with_the_CLI.pdf) no Centro de documentação do NetApp ONTAP.
**nota**
O cliente determina o algoritmo de criptografia. As autenticações NTLM e Kerberos funcionam com criptografia de 128 e 256 bits. O FSx for ONTAP SMB Server aceita todas as solicitações padrão do cliente Windows, e os controles granulares são gerenciados pelas configurações da Política de Grupo ou do Registro da Microsoft.
Você usa a ONTAP CLI para gerenciar as configurações de criptografia em trânsito FSx para ONTAP SVMs e volumes. Para acessar a CLI do NetApp ONTAP, estabeleça uma sessão SSH na SVM na qual você está definindo as configurações de criptografia em trânsito, conforme descrito em [Gerenciamento de SVMs com a CLI do ONTAP](managing-resources-ontap-apps.md#vsadmin-ontap-cli).
Para obter informações sobre como habilitar a criptografia de SMB em uma SVM ou volume, consulte [Habilitar a criptografia de SMB para dados em trânsito](enable-smb-encryption.md).
## Criptografando dados em trânsito com IPsec criptografia
FSx for ONTAP suporta o uso do IPsec protocolo no modo de transporte para garantir que os dados estejam continuamente seguros e criptografados enquanto estão em trânsito. IPsec oferece end-to-end criptografia de dados em trânsito entre clientes e FSx para sistemas de arquivos ONTAP para todo o tráfego IP compatível — protocolos NFS, iSCSI e SMB. Com a IPsec criptografia, você estabelece um IPsec túnel entre um FSx para ONTAP SVM configurado com IPsec ativado e um IPsec cliente em execução no cliente conectado acessando os dados.
Recomendamos que você use IPsec para criptografar dados em trânsito pelos protocolos NFS, SMB e iSCSI ao acessar seus dados de clientes que não oferecem suporte [à criptografia baseada em Nitro](#nitro-encryption) e se seu cliente não SVMs estiverem associados a um Active Directory, o que é necessário para criptografia baseada em Kerberos. IPsec a criptografia é a única opção disponível para criptografar dados em trânsito para tráfego iSCSI quando seu cliente iSCSI não oferece suporte à criptografia baseada em Nitro.
Para IPsec autenticação, você pode usar chaves pré-compartilhadas (PSKs) ou certificados. Se você estiver usando uma PSK, o IPsec cliente que você usa deve oferecer suporte ao Internet Key Exchange versão 2 (IKEv2) com uma PSK. As etapas de alto nível para configurar a IPsec criptografia no ONTAP e no cliente são as seguintes: FSx
1. Ative e configure IPsec em seu sistema de arquivos.
1. Instale e configure IPsec em seu cliente
1. Configurar IPsec para acesso a vários clientes
Para obter mais informações sobre como configurar IPsec usando PSK, consulte [Configurar a segurança IP (IPsec) por meio de criptografia com fio](https://docs.netapp.com/us-en/ontap/networking/configure_ip_security_@ipsec@_over_wire_encryption.html) no centro de NetApp ONTAP documentação.
Para obter mais informações sobre como configurar IPsec usando certificados, consulte[Configurando IPsec usando a autenticação de certificado](config-ipsec-ca-auth.md).
# Habilitar a criptografia de SMB para dados em trânsito
Por padrão, quando você cria uma SVM, a criptografia SMB é desativada. Você pode habilitar a criptografia SMB necessária em compartilhamentos individuais ou em uma SVM, o que a ativa para todos os compartilhamentos nessa SVM.
**nota**
Quando a criptografia SMB necessária está habilitada em uma SVM ou em um compartilhamento, os clientes SMB que não oferecem suporte à criptografia não podem se conectar à SVM ou ao compartilhamento.
**Para exigir criptografia SMB no tráfego SMB de entrada em uma SVM**
Use o procedimento a seguir para exigir criptografia SMB em uma SVM usando a CLI do NetApp ONTAP.
1. Para se conectar ao endpoint de gerenciamento da SVM com SSH, use o nome de usuário `vsadmin` e a senha vsadmin definidos ao criar a SVM. Se você não tiver definido uma senha vsadmin, utilize o nome de usuário `fsxadmin` e a senha fsxadmin. Você pode efetuar SSH na SVM por meio de um cliente que esteja na mesma VPC do sistema de arquivos, usando o endereço IP ou o nome DNS do endpoint de gerenciamento.
```
ssh vsadmin@svm-management-endpoint-ip-address
```
O comando com exemplo de valores:
```
ssh vsadmin@198.51.100.10
```
O comando SSH usando o nome DNS do endpoint de gerenciamento:
```
ssh vsadmin@svm-management-endpoint-dns-name
```
O comando de SSH usando um nome de DNS de exemplo:
```
ssh vsadmin@management.svm-abcdef01234567892fs-08fc3405e03933af0.fsx.us-east-2.aws.com
```
```
Password: vsadmin-password
This is your first recorded login.
FsxIdabcdef01234567892::>
```
1. Use o comando [https://docs.netapp.com/us-en/ontap-cli-9131/vserver-cifs-security-modify.html](https://docs.netapp.com/us-en/ontap-cli-9131/vserver-cifs-security-modify.html) da CLI do NetApp ONTAP para exigir criptografia de SMB para o tráfego SMB recebido na SVM.
```
vserver cifs security modify -vserver vserver_name -is-smb-encryption-required true
```
1. Para deixar de exigir a criptografia SMB no tráfego SMB de entrada, use o comando a seguir.
```
vserver cifs security modify -vserver vserver_name -is-smb-encryption-required false
```
1. Para ver a configuração `is-smb-encryption-required` atual em uma SVM, use o seguinte comando [https://docs.netapp.com/us-en/ontap-cli-9131/vserver-cifs-security-show.html](https://docs.netapp.com/us-en/ontap-cli-9131/vserver-cifs-security-show.html) da CLI do NetApp ONTAP:
```
vserver cifs security show -vserver vs1 -fields is-smb-encryption-required
vserver is-smb-encryption-required
-------- -------------------------
vs1 true
```
Para obter mais informações sobre como gerenciar a criptografia SMB em uma SVM, consulte [ Configuração da criptografia SMB necessária em servidores SMB para transferências de dados por SMB](https://docs.netapp.com/us-en/ontap/smb-admin/configure-required-encryption-concept.html) no Centro de documentação do NetApp ONTAP,
**Habilitar a criptografia SMB em um volume**
Use o procedimento a seguir para exigir criptografia SMB em um compartilhamento usando a CLI do NetApp ONTAP.
1. Estabeleça uma conexão Secure Shell (SSH) com o endpoint de gerenciamento da SVM, conforme descrito em [Gerenciamento de SVMs com a CLI do ONTAP](managing-resources-ontap-apps.md#vsadmin-ontap-cli).
1. Use o comando da CLI do NetApp ONTAP a seguir para criar um novo compartilhamento de SMB e exigir criptografia SMB ao acessar esse compartilhamento.
```
vserver cifs share create -vserver vserver_name -share-name share_name -path share_path -share-properties encrypt-data
```
Para obter mais informações, consulte [https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__create.html](https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__create.html) nas páginas de manual de comandos da CLI do NetApp ONTAP.
1. Para exigir a criptografia SMB em um compartilhamento de SMB existente, use o comando a seguir.
```
vserver cifs share properties add -vserver vserver_name -share-name share_name -share-properties encrypt-data
```
Para obter mais informações, consulte [https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__properties__add.html](https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__properties__add.html) nas páginas de manual de comandos da CLI do NetApp ONTAP.
1. Para desativar a criptografia SMB em um compartilhamento de SMB existente, use o comando a seguir.
```
vserver cifs share properties remove -vserver vserver_name -share-name share_name -share-properties encrypt-data
```
Para obter mais informações, consulte [https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__properties__remove.html](https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__properties__remove.html) nas páginas de manual de comandos da CLI do NetApp ONTAP.
1. Para ver a configuração atual `is-smb-encryption-required` em um compartilhamento de SMB, use o seguinte comando da CLI do NetApp ONTAP:
```
vserver cifs share properties show -vserver vserver_name -share-name share_name -fields share-properties
```
Se uma das propriedades retornadas pelo comando for `encrypt-data`, essa propriedade especificará que a criptografia SMB deve ser usada ao acessar esse compartilhamento.
Para obter mais informações, consulte [https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__properties__show.html](https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__properties__show.html) nas páginas de manual de comandos da CLI do NetApp ONTAP.
# Configurando IPsec usando a autenticação PSK
Se você estiver usando o PSK para autenticação, as etapas para configurar a IPsec criptografia no ONTAP e no cliente são as seguintes: FSx
1. Ative e configure IPsec em seu sistema de arquivos.
1. Instale e configure IPsec em seu cliente
1. Configurar IPsec para acesso a vários clientes
Para obter detalhes sobre a configuração IPsec usando o PSK, consulte [Configurar a segurança IP (IPsec) por criptografia eletrônica](https://docs.netapp.com/us-en/ontap/networking/configure_ip_security_@ipsec@_over_wire_encryption.html) no centro de NetApp ONTAP documentação.
# Configurando IPsec usando a autenticação de certificado
Os tópicos a seguir fornecem instruções para configurar a IPsec criptografia usando a autenticação de certificado em um sistema de arquivos FSx for ONTAP e em um cliente executando o Libreswan. IPsec Essa solução usa AWS Certificate Manager e Autoridade de Certificação Privada da AWS para criar uma autoridade de certificação privada e para gerar os certificados.
As etapas de alto nível para configurar a IPsec criptografia usando a autenticação de certificado em sistemas FSx de arquivos ONTAP e clientes conectados são as seguintes:
1. Ter uma autoridade de certificação implantada para emitir certificados.
1. Gerar e exportar certificados de CA para o sistema de arquivos e o cliente.
1. Instale o certificado e configure IPsec na instância do cliente.
1. Instale o certificado e configure IPsec em seu sistema de arquivos.
1. Definir o banco de dados de políticas de segurança (SPD).
1. Configure IPsec para acesso a vários clientes.
## Como criar e instalar certificados CA
Para autenticação de certificados, você precisa gerar e instalar certificados de uma autoridade de certificação em seu sistema FSx de arquivos do ONTAP e dos clientes que acessarão os dados em seu sistema de arquivos. O exemplo a seguir é usado Autoridade de Certificação Privada da AWS para configurar uma autoridade de certificação privada e gerar os certificados para instalação no sistema de arquivos e no cliente. Usando Autoridade de Certificação Privada da AWS, você pode criar uma hierarquia totalmente AWS hospedada de autoridades de certificação raiz e subordinadas (CAs) para uso interno de sua organização. Esse processo tem cinco etapas:
1. Crie uma autoridade de certificação (CA) privada usando CA Privada da AWS
1. Emitir e instalar o certificado raiz na CA privada
1. Solicite um certificado privado AWS Certificate Manager para seu sistema de arquivos e clientes
1. Exportar o certificado para o sistema de arquivos e os clientes
Para obter mais informações, consulte [Administração de CA privada](https://docs.aws.amazon.com/privateca/latest/userguide/creating-managing.html) no Guia Autoridade de Certificação Privada da AWS do usuário.
**Criar a CA privada raiz**
1. Ao criar uma CA, especifique a configuração da CA em um arquivo fornecido por você. O comando a seguir usa o editor de texto Nano para criar o arquivo `ca_config.txt`, que especifica as seguintes informações:
+ O nome do algoritmo
+ O algoritmo de assinatura que a CA usa para assinar
+ Informações do assunto X.500
```
$ > nano ca_config.txt
```
O editor de texto é exibido.
1. Edite o arquivo com as especificações da sua CA.
```
{
"KeyAlgorithm":"RSA_2048",
"SigningAlgorithm":"SHA256WITHRSA",
"Subject":{
"Country":"US",
"Organization":"Example Corp",
"OrganizationalUnit":"Sales",
"State":"WA",
"Locality":"Seattle",
"CommonName":"*.ec2.internal"
}
}
```
1. Salve e feche o arquivo, saindo do editor de texto. Para obter mais informações, consulte [Procedimento para criar uma CA](https://docs.aws.amazon.com/privateca/latest/userguide/Create-CA-CLI.html) no Guia Autoridade de Certificação Privada da AWS do Usuário.
1. Use o comando [create-certificate-authority](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/create-certificate-authority.html) CA Privada da AWS CLI para criar uma CA privada.
```
~/home > aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config.txt \
--certificate-authority-type "ROOT" \
--idempotency-token 01234567 --region aws-region
```
Se obtiver êxito, esse comando produz o nome de recurso da Amazon (ARN) da CA.
```
{
"CertificateAuthorityArn": "arn:aws:acm-pca:aws-region:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012"
}
```
**Para criar e instalar um certificado para a CA raiz privada (AWS CLI)**
1. Gere uma solicitação de assinatura de certificado (CSR) usando o comando [https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate-authority-csr.html](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate-authority-csr.html) AWS CLI.
```
$ aws acm-pca get-certificate-authority-csr \
--certificate-authority-arn arn:aws:acm-pca:aws-region:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012 \
--output text \
--endpoint https://acm-pca.aws-region.amazonaws.com \
--region eu-west-1 > ca.csr
```
O arquivo resultante `ca.csr`, um arquivo PEM codificado no formato base64, tem a seguinte aparência.
```
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
```
Para obter mais informações, consulte [Instalando um certificado CA raiz](https://docs.aws.amazon.com/privateca/latest/userguide/PCACertInstall.html#InstallRoot) no Guia Autoridade de Certificação Privada da AWS do usuário.
1. Use o [https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html) AWS CLI comando para emitir e instalar o certificado raiz em sua CA privada.
```
$ aws acm-pca issue-certificate \
--certificate-authority-arn arn:aws:acm-pca:aws-region:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012 \
--csr file://ca.csr \
--signing-algorithm SHA256WITHRSA \
--template-arn arn:aws:acm-pca:::template/RootCACertificate/V1 \
--validity Value=3650,Type=DAYS --region aws-region
```
1. Baixe o certificado raiz usando o [https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate.html) AWS CLI comando.
```
$ aws acm-pca get-certificate \
--certificate-authority-arn arn:aws:acm-pca:aws-region:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012 \
--certificate-arn arn:aws:acm-pca:aws-region:486768734100:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/abcdef0123456789abcdef0123456789 \
--output text --region aws-region > rootCA.pem
```
1. Instale o certificado raiz em sua CA privada usando o [https://docs.aws.amazon.com/cli/latest/reference/acm-pca/import-certificate-authority-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/import-certificate-authority-certificate.html) AWS CLI comando.
```
$ aws acm-pca import-certificate-authority-certificate \
--certificate-authority-arn arn:aws:acm-pca:aws-region:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012 \
--certificate file://rootCA.pem --region aws-region
```
**Gerar e exportar o certificado do sistema de arquivos e do cliente**
1. Use o [https://docs.aws.amazon.com/cli/latest/reference/acm/request-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm/request-certificate.html) AWS CLI comando para solicitar um AWS Certificate Manager certificado para usar em seu sistema de arquivos e clientes.
```
$ aws acm request-certificate \
--domain-name *.ec2.internal \
--idempotency-token 12345 \
--region aws-region \
--certificate-authority-arn arn:aws:acm-pca:aws-region:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012
```
Se a solicitação for bem-sucedida, o ARN do certificado emitido será retornado.
1. Por segurança, você deve atribuir uma frase-senha para a chave privada ao exportá-la. Crie uma frase-senha e armazene-a em um arquivo chamado `passphrase.txt`
1. Use o [https://docs.aws.amazon.com/cli/latest/reference/acm/export-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm/export-certificate.html) AWS CLI comando para exportar o certificado privado emitido anteriormente. O arquivo exportado contém o certificado, a cadeia de certificados e a chave RSA privada criptografada de 2048 bits associada à chave pública incorporada ao certificado. Por segurança, você deve atribuir uma frase-senha para a chave privada ao exportá-la. O exemplo a seguinte é de uma instância do LInux EC2.
```
$ aws acm export-certificate \
--certificate-arn arn:aws:acm:aws-region:111122223333:certificate/12345678-1234-1234-1234-123456789012 \
--passphrase $(cat passphrase.txt | base64) --region aws-region > exported_cert.json
```
1. Use os comandos `jq` a seguir para extrair a chave privada e o certificado da resposta JSON.
```
$ passphrase=$(cat passphrase.txt | base64)
cat exported_cert.json | jq -r .PrivateKey > prv.key
cat exported_cert.json | jq -r .Certificate > cert.pem
```
1. Use os comandos `openssl` a seguir para decriptografar a chave privada da resposta JSON. Depois de inserir o comando, você será solicitado a digitar a frase-senha.
```
$ openssl rsa -in prv.key -passin pass:$passphrase -out decrypted.key
```
## Instalando e configurando o Libreswan em IPsec um cliente Amazon Linux 2
As seções a seguir fornecem instruções para instalar e configurar o Libreswan IPsec em uma instância do Amazon EC2 que executa o Amazon Linux 2.
**Instalar e configurar o Libreswan**
1. Conecte-se à sua instância do EC2 usando SSH. Para obter instruções específicas sobre como fazer isso, consulte [Conectar-se à instância do Linux usando um cliente SSH](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AccessingInstancesLinux.html#AccessingInstancesLinuxSSHClient) no Guia do usuário do Amazon Elastic Compute Cloud para instâncias do Linux..
1. Execute o comando a seguir para instalar o `libreswan`:
```
$ sudo yum install libreswan
```
1. (Opcional) Ao verificar IPsec em uma etapa posterior, essas propriedades podem ser sinalizadas sem essas configurações. Sugerimos testar sua instalação primeiro sem essas configurações. Se sua conexão tiver problemas, retorne a esta etapa e faça as alterações a seguir.
Após a conclusão da instalação, use seu editor de texto preferencial para adicionar as entradas a seguir ao arquivo `/etc/sysctl.conf`.
```
net.ipv4.ip_forward=1
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.secure_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv4.conf.lo.accept_redirects = 0
net.ipv4.conf.lo.send_redirects = 0
net.ipv4.conf.all.rp_filter = 0
net.ipv4.conf.default.rp_filter = 0
net.ipv4.conf.eth0.rp_filter = 0
```
Salve as alterações e saia do editor de texto.
1. Aplique as alterações:
```
$ sudo sysctl -p
```
1. Verifique a IPsec configuração.
```
$ sudo ipsec verify
```
Verifique se a versão do `Libreswan` que você instalou está em execução.
1. Inicialize o banco de dados IPsec NSS.
```
$ sudo ipsec checknss
```
**Instalar o certificado no cliente**
1. Copie o [certificado que você gerou](#generate-certificate) para o cliente no diretório de trabalho da instância do EC2. You
1. Exporte o certificado gerado anteriormente em um formato compatível com o `libreswan`.
```
$ openssl pkcs12 -export -in cert.pem -inkey decrypted.key \
-certfile rootCA.pem -out certkey.p12 -name fsx
```
1. Importe a chave reformatada, fornecendo a frase-senha quando solicitado.
```
$ sudo ipsec import certkey.p12
```
1. Crie um arquivo IPsec de configuração usando o editor de texto preferido.
```
$ sudo cat /etc/ipsec.d/nfs.conf
```
Adicione as seguintes entradas ao arquivo de configuração:
```
conn fsxn
authby=rsasig
left=172.31.77.6
right=198.19.254.13
auto=start
type=transport
ikev2=insist
keyexchange=ike
ike=aes256-sha2_384;dh20
esp=aes_gcm_c256
leftcert=fsx
leftrsasigkey=%cert
leftid=%fromcert
rightid=%fromcert
rightrsasigkey=%cert
```
Você iniciará IPsec no cliente após a configuração IPsec em seu sistema de arquivos.
## Configurando IPsec em seu sistema de arquivos
Esta seção fornece instruções sobre como instalar o certificado em seu sistema de arquivos FSx para ONTAP e IPsec configurá-lo.
**Instalar o certificado no sistema de arquivos**
1. Copie os arquivos do certificado raiz (`rootCA.pem)`), do certificado do cliente (`cert.pem`) e da chave decriptografada (`decrypted.key`) para o sistema de arquivos. Você precisará saber a senha do certificado.
1. Para acessar a ONTAP CLI, estabeleça uma sessão SSH na porta de gerenciamento do sistema de arquivos Amazon FSx for NetApp ONTAP ou SVM executando o comando a seguir. Substitua `management_endpoint_ip` pelo endereço IP da porta de gerenciamento do sistema de arquivos.
```
[~]$ ssh fsxadmin@management_endpoint_ip
```
Para obter mais informações, consulte [Como gerenciar sistemas de arquivos com a CLI do ONTAP](managing-resources-ontap-apps.md#fsxadmin-ontap-cli).
1. Use **cat** em um cliente (não no sistema de arquivos) para listar o conteúdo dos arquivos `rootCA.pem`, `cert.pem` e `decrypted.key` para que você possa copiar a saída de cada arquivo e colá-la quando solicitado nas etapas a seguir.
```
$ > cat cert.pem
```
Copie o conteúdo do certificado.
1. Você deve instalar todos os certificados de CA usados durante a autenticação mútua, incluindo tanto do lado do ONTAP quanto do lado do cliente, no gerenciamento de ONTAP certificados CAs, a menos que ele já esteja instalado (como é o caso de uma CA raiz autoassinada do ONTAP).
Use o comando `security certificate install` NetApp CLI da seguinte forma para instalar o certificado do cliente:
```
FSxID123:: > security certificate install -vserver dr -type client -cert-name ipsec-client-cert
```
```
Please enter Certificate: Press when done
```
Cole o conteúdo do arquivo `cert.pem` que você copiou anteriormente e pressione Enter.
```
Please enter Private Key: Press when done
```
Cole o conteúdo do arquivo `decrypted.key` e pressione Enter.
```
Do you want to continue entering root and/or intermediate certificates {y|n}:
```
Insira `n` para concluir a inserção do certificado do cliente.
1. Crie e instale um certificado para uso da SVM. A CA emissora desse certificado já deve estar instalada ONTAP e adicionada. IPsec
Use o seguinte comando para instalar o certificado raiz:
```
FSxID123:: > security certificate install -vserver dr -type server-ca -cert-name ipsec-ca-cert
```
```
Please enter Certificate: Press when done
```
Cole o conteúdo do arquivo `rootCA.pem` e pressione Enter.
1. Para garantir que a CA instalada esteja dentro do caminho de busca da IPsec CA durante a autenticação, adicione o gerenciamento de ONTAP certificados CAs ao IPsec módulo usando o comando “security ipsec ca-certificate add”.
Digite o seguinte comando para adicionar o certificado raiz:
```
FSxID123:: > security ipsec ca-certificate add -vserver dr -ca-certs ipsec-ca-cert
```
1. Digite o comando a seguir para criar a IPsec política necessária no banco de dados de políticas de segurança (SPD).
```
security ipsec policy create -vserver dr -name policy-name -local-ip-subnets 198.19.254.13/32 -remote-ip-subnets 172.31.0.0/16 -auth-method PKI -action ESP_TRA -cipher-suite SUITEB_GCM256 -cert-name ipsec-client-cert -local-identity "CN=*.ec2.internal" -remote-identity "CN=*.ec2.internal"
```
1. Use o comando a seguir para mostrar a IPsec política para confirmação do sistema de arquivos.
```
FSxID123:: > security ipsec policy show -vserver dr -instance
Vserver: dr
Policy Name: promise
Local IP Subnets: 198.19.254.13/32
Remote IP Subnets: 172.31.0.0/16
Local Ports: 0-0
Remote Ports: 0-0
Protocols: any
Action: ESP_TRA
Cipher Suite: SUITEB_GCM256
IKE Security Association Lifetime: 86400
IPsec Security Association Lifetime: 28800
IPsec Security Association Lifetime (bytes): 0
Is Policy Enabled: true
Local Identity: CN=*.ec2.internal
Remote Identity: CN=*.ec2.internal
Authentication Method: PKI
Certificate for Local Identity: ipsec-client-cert
```
## Comece IPsec com o cliente
Agora IPsec está configurado no sistema FSx de arquivos ONTAP e no cliente, você pode começar IPsec no cliente.
1. Conecte-se ao sistema do cliente usando SSH.
1. Começar IPsec.
```
$ sudo ipsec start
```
1. Verifique o status do IPsec.
```
$ sudo ipsec status
```
1. Monte um volume no sistema de arquivos.
```
$ sudo mount -t nfs 198.19.254.13:/benchmark /home/ec2-user/acm/dr
```
1. Verifique a IPsec configuração mostrando a conexão criptografada em seu sistema de arquivos FSx para ONTAP.
```
FSxID123:: > security ipsec show-ikesa -node FsxId123
FsxId08ac16c7ec2781a58::> security ipsec show-ikesa -node FsxId08ac16c7ec2781a58-01
Policy Local Remote
Vserver Name Address Address Initator-SPI State
----------- ------ --------------- --------------- ---------------- -----------
dr policy-name
198.19.254.13 172.31.77.6 551c55de57fe8976 ESTABLISHED
fsx policy-name
198.19.254.38 172.31.65.193 4fd3f22c993e60c5 ESTABLISHED
2 entries were displayed.
```
## Configuração IPsec para vários clientes
Quando um pequeno número de clientes precisa aproveitar IPsec, usar uma única entrada SPD para cada cliente é suficiente. No entanto, quando centenas ou até milhares de clientes precisarem aproveitar IPsec, recomendamos que você use a configuração de IPsec vários clientes.
FSx for ONTAP suporta a conexão de vários clientes em várias redes a um único endereço IP SVM com IPsec habilitado. Você pode fazer isso usando a configuração `subnet` ou `Allow all clients`, que são explicadas nos seguintes procedimentos:
**Para configurar IPsec para vários clientes usando uma configuração de sub-rede**
Para permitir que todos os clientes de uma sub-rede específica (192.168.134.0/24, por exemplo) se conectem a um único endereço IP da SVM usando uma única entrada de política SPD, especifique `remote-ip-subnets` no formulário da sub-rede. Além disso, especifique o campo `remote-identity` com a identidade correta no lado do cliente.
**Importante**
Ao usar a autenticação de certificado, cada cliente pode usar seu próprio certificado exclusivo ou um certificado compartilhado para se autenticar. FSx for ONTAP IPsec verifica a validade do certificado com base no CAs instalado em seu armazenamento confiável local. FSx para ONTAP também suporta a verificação da lista de revogação de certificados (CRL).
1. Para acessar a ONTAP CLI, estabeleça uma sessão SSH na porta de gerenciamento do sistema de arquivos Amazon FSx for NetApp ONTAP ou SVM executando o comando a seguir. Substitua `management_endpoint_ip` pelo endereço IP da porta de gerenciamento do sistema de arquivos.
```
[~]$ ssh fsxadmin@management_endpoint_ip
```
Para obter mais informações, consulte [Como gerenciar sistemas de arquivos com a CLI do ONTAP](managing-resources-ontap-apps.md#fsxadmin-ontap-cli).
1. Use o comando `security ipsec policy create` NetApp ONTAP CLI da seguinte forma, substituindo os *sample* valores pelos seus valores específicos.
```
FsxId123456::> security ipsec policy create -vserver svm_name -name policy_name \
-local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 192.168.134.0/24 \
-local-ports 2049 -protocols tcp -auth-method PSK \
-cert-name my_nfs_server_cert -local-identity ontap_side_identity \
-remote-identity client_side_identity
```
**Para configurar IPsec para vários clientes usando uma configuração de permitir todos os clientes**
Para permitir que qualquer cliente, independentemente do endereço IP de origem, se conecte ao endereço IP IPsec habilitado para SVM, use o `0.0.0.0/0` curinga ao especificar o campo. `remote-ip-subnets`
Além disso, especifique o campo `remote-identity` com a identidade correta no lado do cliente. No caso da autenticação de certificado, você pode digitar `ANYTHING`.
Além disso, quando o curinga 0.0.0.0/0 é usado, você deve configurar um número de porta local ou remota específico para uso. Por exemplo, porta NFS 2049.
1. Para acessar a ONTAP CLI, estabeleça uma sessão SSH na porta de gerenciamento do sistema de arquivos Amazon FSx for NetApp ONTAP ou SVM executando o comando a seguir. Substitua `management_endpoint_ip` pelo endereço IP da porta de gerenciamento do sistema de arquivos.
```
[~]$ ssh fsxadmin@management_endpoint_ip
```
Para obter mais informações, consulte [Como gerenciar sistemas de arquivos com a CLI do ONTAP](managing-resources-ontap-apps.md#fsxadmin-ontap-cli).
1. Use o comando `security ipsec policy create` NetApp ONTAP CLI da seguinte forma, substituindo os *sample* valores pelos seus valores específicos.
```
FsxId123456::> security ipsec policy create -vserver svm_name -name policy_name \
-local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 0.0.0.0/0 \
-local-ports 2049 -protocols tcp -auth-method PSK \
-cert-name my_nfs_server_cert -local-identity ontap_side_identity \
-local-ports 2049 -remote-identity client_side_identity
```