Notas de la versión
Habilitar la gestión de claves incorporada en ONTAP 9.5 y versiones anteriores (NVE)
Sugerir cambios
-
PDF de este sitio de documentos
-
Administración de clústeres
-
Administración de volúmenes
-
Gestión de almacenamiento lógico con CLI
-
Utilice cuotas para restringir o realizar un seguimiento del uso de los recursos
-
-
-
Gestión del almacenamiento nas
-
Configure NFS con la CLI
-
Gestione NFS con la interfaz de línea de comandos
-
Gestione SMB con la interfaz de línea de comandos
-
Gestione servidores SMB
-
Gestione el acceso a archivos mediante SMB
-
-
-
Gestión del almacenamiento san
-
Autenticación y control de acceso
-
Seguridad y cifrado de datos
-
Protección de datos y recuperación ante desastres
-
Recopilación de documentos PDF independientes
Creating your file...
Puede usar el administrador de claves incorporado para proteger las claves que el clúster utiliza para acceder a los datos cifrados. Debe habilitar el gestor de claves incorporado en cada clúster que acceda a un volumen cifrado o un disco de autocifrado.
Debe ejecutar el security key-manager setup cada vez que añada un nodo al clúster.
Si tiene una configuración de MetroCluster, revise las siguientes directrices:
-
En ONTAP 9.5, debe ejecutar
security key-manager setupen el clúster local y.security key-manager setup -sync-metrocluster-config yesen el clúster remoto, utilizando la misma clave de acceso en cada uno. -
Antes de ONTAP 9.5, debe ejecutar
security key-manager setupen el clúster local, espere aproximadamente 20 segundos y después ejecutesecurity key-manager setupen el clúster remoto, utilizando la misma clave de acceso en cada uno.
De forma predeterminada, no es necesario introducir la clave de acceso del administrador de claves cuando se reinicia un nodo. A partir de ONTAP 9,4, puede utilizar el -enable-cc-mode yes opción para solicitar que los usuarios introduzcan la frase de contraseña después de un reinicio.
Para NVE, si estableció -enable-cc-mode yes, volúmenes creados con volume create y.. volume move start los comandos se cifran automáticamente. Para volume create, no es necesario especificar -encrypt true. Para volume move start, no es necesario especificar -encrypt-destination true.
|
Después de un intento de clave de acceso con errores, debe reiniciar el nodo de nuevo. |
-
Si utiliza NSE o NVE con un servidor de gestión de claves externa (KMIP), debe haber eliminado la base de datos del gestor de claves externo.
-
Para realizar esta tarea, debe ser un administrador de clústeres.
-
Debe configurar el entorno de MetroCluster antes de configurar el gestor de claves incorporado.
-
Inicie la configuración del gestor de claves:
security key-manager setup -enable-cc-mode yes|no
A partir de ONTAP 9,4, puede utilizar el
-enable-cc-mode yesopción para solicitar que los usuarios introduzcan la frase de contraseña del administrador de claves después de un reinicio. Para NVE, si estableció-enable-cc-mode yes, volúmenes creados convolume createy..volume move startlos comandos se cifran automáticamente.En el siguiente ejemplo, se inicia la configuración del gestor de claves en cluster1 sin necesidad de introducir la clave de acceso después de cada reinicio:
cluster1::> security key-manager setup Welcome to the key manager setup wizard, which will lead you through the steps to add boot information. ... Would you like to use onboard key-management? {yes, no} [yes]: Enter the cluster-wide passphrase: <32..256 ASCII characters long text> Reenter the cluster-wide passphrase: <32..256 ASCII characters long text> -
Introduzca
yesen el símbolo del sistema de para configurar la gestión integrada de claves. -
En el indicador de frase de contraseña, introduzca una frase de paso entre 32 y 256 caracteres, o bien, para "'cc-mode'", una frase de paso entre 64 y 256 caracteres.
Si la frase de paso "'cc-mode'" especificada es menor de 64 caracteres, hay un retraso de cinco segundos antes de que la operación de configuración del gestor de claves vuelva a mostrar la indicación de contraseña.
-
En la solicitud de confirmación de contraseña, vuelva a introducir la frase de contraseña.
-
Compruebe que las claves estén configuradas para todos los nodos:
security key-manager key showPara obtener la sintaxis completa del comando, consulte la página man.
cluster1::> security key-manager key show Node: node1 Key Store: onboard Key ID Used By ---------------------------------------------------------------- -------- 0000000000000000020000000000010059851742AF2703FC91369B7DB47C4722 NSE-AK 000000000000000002000000000001008C07CC0AF1EF49E0105300EFC83004BF NSE-AK Node: node2 Key Store: onboard Key ID Used By ---------------------------------------------------------------- -------- 0000000000000000020000000000010059851742AF2703FC91369B7DB47C4722 NSE-AK 000000000000000002000000000001008C07CC0AF1EF49E0105300EFC83004BF NSE-AK
-
Opcionalmente, convierta volúmenes de texto sin formato en volúmenes cifrados.
volume encryption conversion startEl gestor de claves incorporado debe estar completamente configurado antes de convertir los volúmenes. En un entorno MetroCluster, el gestor de claves incorporado debe configurarse en ambos sitios.
Copie la clave de acceso en una ubicación segura fuera del sistema de almacenamiento para usarla en el futuro.
Siempre que configure la clave de acceso de Onboard Key Manager, también debe realizar un backup manual de la información en una ubicación segura fuera del sistema de almacenamiento para usarla en caso de desastre. Consulte "Realice un backup manual de la información de gestión de claves incorporada".