Weisen Sie einem FIPS-Laufwerk oder SED mit der externen Schlüsselverwaltung von ONTAP einen Datenauthentifizierungsschlüssel zu
Änderungen vorschlagen
PDFs
Mit dem storage encryption disk modify Befehl können Sie einem FIPS-Laufwerk oder einer SED einen Datenauthentifizierungsschlüssel zuweisen. Clusterknoten verwenden diesen Schlüssel zum Sperren oder Entsperren verschlüsselter Daten auf dem Laufwerk.
Ein selbstverschlüsselndes Laufwerk ist nur dann vor unberechtigtem Zugriff geschützt, wenn seine Authentifizierungsschlüssel-ID auf einen nicht standardmäßigen Wert eingestellt ist. Der Hersteller Secure ID (MSID), der die Schlüssel-ID 0x0 hat, ist der Standardvorgabewert für SAS-Laufwerke. Bei NVMe-Laufwerken ist der Standardwert ein Null-Schlüssel, der als leere Schlüssel-ID dargestellt wird. Wenn Sie einem selbstverschlüsselnden Laufwerk die Schlüssel-ID zuweisen, ändert das System seine Authentifizierungsschlüssel-ID in einen nicht standardmäßigen Wert.
Dieses Verfahren ist nicht störend.
Sie müssen ein Cluster-Administrator sein, um diese Aufgabe auszuführen.
-
Zuweisen eines Datenauthentifizierungsschlüssels zu einem FIPS-Laufwerk oder einer SED:
storage encryption disk modify -disk disk_ID -data-key-id key_IDErfahren Sie mehr über
storage encryption disk modifyin der "ONTAP-Befehlsreferenz".
Sie können den
security key-manager query -key-type NSE-AKBefehl verwenden, um Schlüssel-IDs anzuzeigen.cluster1::> storage encryption disk modify -disk 0.10.* -data-key-id <id_value> Info: Starting modify on 14 disks. View the status of the operation by using the storage encryption disk show-status command. -
Vergewissern Sie sich, dass die Authentifizierungsschlüssel zugewiesen wurden:
storage encryption disk showErfahren Sie mehr über
storage encryption disk showin der "ONTAP-Befehlsreferenz".cluster1::> storage encryption disk show Disk Mode Data Key ID ----- ---- ---------------------------------------------------------------- 0.0.0 data <id_value> 0.0.1 data <id_value> [...]