Activer la gestion des clés intégrées pour NVE dans ONTAP 9.5 et versions antérieures
Suggérer des modifications
PDF
Vous pouvez utiliser le gestionnaire de clés intégré pour sécuriser les clés que le cluster utilise pour accéder aux données chiffrées. Vous devez activer le gestionnaire de clés intégré sur chaque cluster qui accède à un volume chiffré ou à un disque auto-chiffré.
Vous devez exécuter le security key-manager setup commande à chaque ajout d'un nœud au cluster.
Si vous disposez d'une configuration MetroCluster, consultez les consignes suivantes :
-
Dans ONTAP 9.5, vous devez exécuter
security key-manager setupsur le cluster local etsecurity key-manager setup -sync-metrocluster-config yessur le cluster distant, en utilisant la même phrase de passe sur chacun d'eux. -
Avant ONTAP 9.5, vous devez exécuter
security key-manager setupsur le cluster local, attendez environ 20 secondes, puis exécutezsecurity key-manager setupsur le cluster distant, en utilisant la même phrase de passe sur chacun d'eux.
Par défaut, vous n'êtes pas tenu de saisir la phrase de passe du gestionnaire de clés lors du redémarrage d'un nœud. À partir de ONTAP 9.4, vous pouvez utiliser le -enable-cc-mode yes option pour exiger que les utilisateurs saisissent la phrase de passe après un redémarrage.
Pour NVE, si vous définissez -enable-cc-mode yes, volumes que vous créez avec volume create et volume move start les commandes sont automatiquement chiffrées. Pour volume create, vous n'avez pas besoin de spécifier -encrypt true. Pour volume move start, vous n'avez pas besoin de spécifier -encrypt-destination true.
|
Après une tentative de phrase de passe, vous devez redémarrer le nœud. |
-
Si vous utilisez NSE ou NVE avec un serveur de gestion de clés externe (KMIP), supprimez la base de données du gestionnaire de clés externe.
-
Vous devez être un administrateur de cluster pour effectuer cette tâche.
-
Configurez l’environnement MetroCluster avant de configurer le gestionnaire de clés embarqué.
-
Lancez la configuration du gestionnaire de clés :
security key-manager setup -enable-cc-mode yes|no
À partir de ONTAP 9.4, vous pouvez utiliser le
-enable-cc-mode yesoption permettant aux utilisateurs de saisir la phrase de passe du gestionnaire de clés après un redémarrage. Pour NVE, si vous définissez-enable-cc-mode yes, volumes que vous créez avecvolume createetvolume move startles commandes sont automatiquement chiffrées.L'exemple suivant commence à configurer le gestionnaire de clés sur le cluster 1 sans que la phrase de passe ne soit saisie après chaque redémarrage :
cluster1::> security key-manager setup Welcome to the key manager setup wizard, which will lead you through the steps to add boot information. ... Would you like to use onboard key-management? {yes, no} [yes]: Enter the cluster-wide passphrase: <32..256 ASCII characters long text> Reenter the cluster-wide passphrase: <32..256 ASCII characters long text> -
Entrez
yesà l'invite, configurez la gestion intégrée des clés. -
À l'invite de phrase de passe, entrez une phrase de passe comprise entre 32 et 256 caractères, ou une phrase de passe entre 64 et 256 caractères pour « mode CC ».
Si la phrase de passe « CC-mode » spécifiée est inférieure à 64 caractères, il y a un délai de cinq secondes avant que l'opération de configuration du gestionnaire de clés n'affiche à nouveau l'invite de phrase de passe.
-
À l'invite de confirmation de la phrase de passe, saisissez à nouveau la phrase de passe.
-
Vérifier que les clés sont configurées pour tous les nœuds :
security key-manager show-key-storecluster1::> security key-manager show-key-store Node: node1 Key Store: onboard Key ID Used By ---------------------------------------------------------------- -------- <id_value> NSE-AK <id_value> NSE-AK Node: node2 Key Store: onboard Key ID Used By ---------------------------------------------------------------- -------- <id_value> NSE-AK <id_value> NSE-AK
En savoir plus sur
security key-manager show-key-storedans le"Référence de commande ONTAP" . -
Vous pouvez également convertir des volumes en texte brut en volumes chiffrés.
volume encryption conversion startConfigurez le gestionnaire de clés intégré avant de convertir les volumes. Dans les environnements MetroCluster , configurez-le sur les deux sites.
Copiez la phrase secrète dans un emplacement sécurisé à l'extérieur du système de stockage pour une utilisation ultérieure.
Lorsque vous configurez la phrase secrète du gestionnaire de clés embarquées, sauvegardez les informations dans un emplacement sécurisé en dehors du système de stockage en cas de sinistre. Voir"Sauvegardez manuellement les informations intégrées de gestion des clés" .