Überlegungen zum Ändern des KMS für eine Site
Änderungen vorschlagen
PDFs
Jeder Schlüsselverwaltungsserver (KMS) oder KMS-Cluster stellt allen Appliance-Knoten an einem einzelnen Standort oder einer Gruppe von Standorten einen Verschlüsselungsschlüssel bereit. Wenn Sie ändern müssen, welches KMS für eine Site verwendet wird, müssen Sie möglicherweise den Verschlüsselungsschlüssel von einem KMS in ein anderes kopieren.
Wenn Sie das für eine Site verwendete KMS ändern, müssen Sie sicherstellen, dass die zuvor verschlüsselten Appliance-Knoten an dieser Site mit dem auf dem neuen KMS gespeicherten Schlüssel entschlüsselt werden können. In einigen Fällen müssen Sie möglicherweise die aktuelle Version des Verschlüsselungsschlüssels vom ursprünglichen KMS in das neue KMS kopieren. Sie müssen sicherstellen, dass das KMS über den richtigen Schlüssel zum Entschlüsseln der verschlüsselten Appliance-Knoten am Standort verfügt.
Beispiel:
-
Sie konfigurieren zunächst ein Standard-KMS, das für alle Sites gilt, die nicht über ein dediziertes KMS verfügen.
-
Wenn das KMS gespeichert ist, stellen alle Appliance-Knoten, bei denen die Einstellung Knotenverschlüsselung aktiviert ist, eine Verbindung zum KMS her und fordern den Verschlüsselungsschlüssel an. Dieser Schlüssel wird zum Verschlüsseln der Appliance-Knoten an allen Standorten verwendet. Derselbe Schlüssel muss auch zum Entschlüsseln dieser Geräte verwendet werden.
-
Sie entscheiden sich, für einen Standort (Rechenzentrum 3 in der Abbildung) ein standortspezifisches KMS hinzuzufügen. Da die Appliance-Knoten jedoch bereits verschlüsselt sind, tritt ein Validierungsfehler auf, wenn Sie versuchen, die Konfiguration für das standortspezifische KMS zu speichern. Der Fehler tritt auf, weil das standortspezifische KMS nicht über den richtigen Schlüssel zum Entschlüsseln der Knoten an diesem Standort verfügt.
-
Um das Problem zu beheben, kopieren Sie die aktuelle Version des Verschlüsselungsschlüssels vom Standard-KMS in das neue KMS. (Technisch gesehen kopieren Sie den Originalschlüssel in einen neuen Schlüssel mit demselben Alias. Der Originalschlüssel wird zu einer früheren Version des neuen Schlüssels.) Das standortspezifische KMS verfügt jetzt über den richtigen Schlüssel zum Entschlüsseln der Appliance-Knoten im Rechenzentrum 3, sodass es in StorageGRID gespeichert werden kann.
Anwendungsfälle zum Ändern des für eine Site verwendeten KMS
Die Tabelle fasst die erforderlichen Schritte für die gängigsten Fälle zum Ändern des KMS für eine Site zusammen.
| Anwendungsfall zum Ändern des KMS einer Site | Erforderliche Schritte |
|---|---|
Sie haben einen oder mehrere standortspezifische KMS-Einträge und möchten einen davon als Standard-KMS verwenden. |
Bearbeiten Sie das standortspezifische KMS. Wählen Sie im Feld Verwaltet Schlüssel für die Option Sites, die nicht von einem anderen KMS verwaltet werden (Standard-KMS) aus. Das standortspezifische KMS wird jetzt als Standard-KMS verwendet. Dies gilt für alle Sites, die nicht über ein dediziertes KMS verfügen. |
Sie haben ein Standard-KMS und fügen in einer Erweiterung eine neue Site hinzu. Sie möchten für die neue Site nicht das Standard-KMS verwenden. |
|
Sie möchten, dass das KMS für eine Site einen anderen Server verwendet. |
|