Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Activez la gestion intégrée des clés dans ONTAP 9.5 et versions antérieures

Contributeurs netapp-aaron-holt netapp-barbe netapp-dbagwell netapp-ahibbard netapp-thomi netapp-aherbin
PDF

Vous pouvez utiliser le gestionnaire de clés intégré pour authentifier les nœuds de cluster sur un lecteur FIPS ou SED. Le gestionnaire de clés intégré est un outil intégré qui sert des clés d'authentification aux nœuds du même système de stockage que vos données. Le gestionnaire de clés intégré est conforme à la norme FIPS-140-2 de niveau 1.

Vous pouvez utiliser le gestionnaire de clés intégré pour sécuriser les clés que le cluster utilise pour accéder aux données chiffrées. Activez Onboard Key Manager sur chaque cluster qui accède aux volumes chiffrés ou aux disques à chiffrement automatique.

Description de la tâche

Vous devez exécuter le security key-manager setup commande à chaque ajout d'un nœud au cluster.

Si vous disposez d'une configuration MetroCluster, consultez les consignes suivantes :

  • Dans ONTAP 9.5, vous devez exécuter security key-manager setup sur le cluster local et security key-manager setup -sync-metrocluster-config yes sur le cluster distant, en utilisant la même phrase de passe sur chacun d'eux.

  • Avant ONTAP 9.5, vous devez exécuter security key-manager setup sur le cluster local, attendez environ 20 secondes, puis exécutez security key-manager setup sur le cluster distant, en utilisant la même phrase de passe sur chacun d'eux.

Par défaut, vous n'êtes pas tenu de saisir la phrase de passe du gestionnaire de clés lors du redémarrage d'un nœud. À partir de ONTAP 9.4, vous pouvez utiliser le -enable-cc-mode yes option pour exiger que les utilisateurs saisissent la phrase de passe après un redémarrage.

Pour NVE, si vous définissez -enable-cc-mode yes, volumes que vous créez avec volume create et volume move start les commandes sont automatiquement chiffrées. Pour volume create, vous n'avez pas besoin de spécifier -encrypt true. Pour volume move start, vous n'avez pas besoin de spécifier -encrypt-destination true.

Remarque Après une tentative de phrase de passe, vous devez redémarrer le nœud.
Avant de commencer
Étapes

  1. Lancez la configuration du gestionnaire de clés :

    security key-manager setup -enable-cc-mode yes|no

    Remarque À partir de ONTAP 9.4, vous pouvez utiliser le -enable-cc-mode yes option permettant aux utilisateurs de saisir la phrase de passe du gestionnaire de clés après un redémarrage. Pour NVE, si vous définissez -enable-cc-mode yes, volumes que vous créez avec volume create et volume move start les commandes sont automatiquement chiffrées.

    L'exemple suivant commence à configurer le gestionnaire de clés sur le cluster 1 sans que la phrase de passe ne soit saisie après chaque redémarrage :

    cluster1::> security key-manager setup
Welcome to the key manager setup wizard, which will lead you through
the steps to add boot information.

...

Would you like to use onboard key-management? {yes, no} [yes]:
Enter the cluster-wide passphrase:    <32..256 ASCII characters long text>
Reenter the cluster-wide passphrase:    <32..256 ASCII characters long text>

  2. Entrez yes à l'invite, configurez la gestion intégrée des clés.

  3. À l'invite de phrase de passe, entrez une phrase de passe comprise entre 32 et 256 caractères, ou une phrase de passe entre 64 et 256 caractères pour « mode CC ».

    Remarque Si la phrase de passe « CC-mode » spécifiée est inférieure à 64 caractères, il y a un délai de cinq secondes avant que l'opération de configuration du gestionnaire de clés n'affiche à nouveau l'invite de phrase de passe.

  4. À l'invite de confirmation de la phrase de passe, saisissez à nouveau la phrase de passe.

  5. Vérifier que les clés sont configurées pour tous les nœuds :

    security key-manager show-key-store

    En savoir plus sur security key-manager show-key-store dans le"Référence de commande ONTAP" .

    cluster1::> security key-manager show-key-store

Node: node1
Key Store: onboard
Key ID                                                           Used By
---------------------------------------------------------------- --------
<id_value> NSE-AK
<id_value> NSE-AK

Node: node2
Key Store: onboard
Key ID                                                           Used By
---------------------------------------------------------------- --------
<id_value> NSE-AK
<id_value> NSE-AK
Une fois que vous avez terminé

ONTAP sauvegarde automatiquement les informations de gestion des clés dans la base de données répliquée (RDB) du cluster.

Après avoir configuré la phrase secrète du gestionnaire de clés embarquées, sauvegardez manuellement les informations dans un emplacement sécurisé en dehors du système de stockage. Voir"Sauvegardez manuellement les informations intégrées de gestion des clés" .

Informations associées