Ein FIPS-Laufwerk oder SED infizieren
Änderungen vorschlagen
PDFs
Wenn Sie Daten auf einem FIPS-Laufwerk oder einer SED dauerhaft unzugänglich machen möchten und das Laufwerk für neue Daten verwenden möchten, können Sie storage encryption disk sanitize das Laufwerk mit dem Befehl bereinigen.
Wenn Sie ein selbstverschlüsselndes Laufwerk desinfizieren, ändert das System den Verschlüsselungsschlüssel in einen neuen zufälligen Wert, setzt den Einschloß-Status auf false zurück und setzt die Schlüssel-ID auf einen Standardwert, entweder die Herstellersichere ID 0x0 (SAS-Laufwerke) oder einen Null-Schlüssel (NVMe-Laufwerke). Dadurch werden die Daten auf der Festplatte nicht mehr zugänglich und können nicht abgerufen werden. Sie können desinfizierte Festplatten als nicht auf Null bereinigte Ersatzfestplatten wiederverwenden.
Sie müssen ein Cluster-Administrator sein, um diese Aufgabe auszuführen.
-
Migrieren Sie alle Daten, die in einem Aggregat auf einer anderen Festplatte aufbewahrt werden müssen.
-
Löschen Sie das Aggregat auf dem FIPS-Laufwerk oder der SED, das bereinigt werden soll:
storage aggregate delete -aggregate aggregate_nameEine vollständige Befehlssyntax finden Sie in der man-Page.
cluster1::> storage aggregate delete -aggregate aggr1
-
Festplatten-ID für das zu desinfizierte FIPS-Laufwerk oder SED ermitteln:
storage encryption disk show -fields data-key-id,fips-key-id,ownerEine vollständige Befehlssyntax finden Sie in der man-Page.
cluster1::> storage encryption disk show Disk Mode Data Key ID ----- ---- ---------------------------------------------------------------- 0.0.0 data F1CB30AFF1CB30B00101000000000000A68B167F92DD54196297159B5968923C 0.0.1 data F1CB30AFF1CB30B00101000000000000A68B167F92DD54196297159B5968923C 1.10.2 data F1CB30AFF1CB30B00101000000000000CF0EFD81EA9F6324EA97B369351C56AC [...]
-
Wenn ein FIPS-Laufwerk im FIPS-Compliance-Modus ausgeführt wird, legen Sie die FIPS-Authentifizierungsschlüssel-ID für den Node wieder auf den Standard MSID 0x0:
storage encryption disk modify -disk disk_id -fips-key-id 0x0Sie können den
security key-manager queryBefehl verwenden, um Schlüssel-IDs anzuzeigen.cluster1::> storage encryption disk modify -disk 1.10.2 -fips-key-id 0x0 Info: Starting modify on 1 disk. View the status of the operation by using the storage encryption disk show-status command. -
Antrieb desinfizieren:
storage encryption disk sanitize -disk disk_idMit diesem Befehl können Sie nur Hot-Spare- oder defekte Festplatten bereinigen. Um unabhängig vom Typ alle Festplatten bereinigen
-force-all-statezu können, verwenden Sie die Option. Eine vollständige Befehlssyntax finden Sie in der man-Page.
ONTAP fordert Sie auf, eine Bestätigungsaufforderung einzugeben, bevor Sie fortfahren. Geben Sie den Ausdruck genau so ein, wie er auf dem Bildschirm angezeigt wird. cluster1::> storage encryption disk sanitize -disk 1.10.2 Warning: This operation will cryptographically sanitize 1 spare or broken self-encrypting disk on 1 node. To continue, enter sanitize disk: sanitize disk Info: Starting sanitize on 1 disk. View the status of the operation using the storage encryption disk show-status command. -
Bereinigte Festplatte aufheben:
storage disk unfail -spare true -disk disk_id -
Überprüfen Sie, ob die Festplatte einen Besitzer hat:
storage disk show -disk disk_id+ Wenn die Platte keinen Besitzer hat, weisen Sie einen zu.storage disk assign -owner node -disk disk_id -
Geben Sie den Knotenpunkt für den Knoten ein, der die Festplatten besitzt, die Sie desinfizieren möchten:
system node run -node node_nameFühren Sie den
disk sanitize releaseBefehl aus. -
Verlassen Sie die Nodeshell. Fehler der Festplatte erneut aufheben:
storage disk unfail -spare true -disk disk_id -
Überprüfen Sie, ob die Festplatte jetzt als Ersatzlaufwerk verwendet und in einem Aggregat wiederverwendet werden kann:
storage disk show -disk disk_id