Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Activez la gestion intégrée des clés dans les nouveaux nœuds ajoutés

Contributeurs
PDF

Vous pouvez utiliser le gestionnaire de clés intégré pour sécuriser les clés que le cluster utilise pour accéder aux données chiffrées. Vous devez activer le gestionnaire de clés intégré sur chaque cluster qui accède à un volume chiffré ou à un disque auto-chiffré.

Remarque

Pour ONTAP 9.5 et les versions antérieures, vous devez exécuter le security key-manager setup commande à chaque ajout d'un nœud au cluster.

Pour ONTAP 9.6 et versions ultérieures, vous devez exécuter le security key-manager sync commande à chaque ajout d'un nœud au cluster.

Si vous ajoutez un nœud à un cluster dont la gestion intégrée des clés est configurée, vous exécutez cette commande pour actualiser les clés manquantes.

Si vous disposez d'une configuration MetroCluster, consultez les consignes suivantes :

  • Avec ONTAP 9.6, vous devez exécuter security key-manager onboard enable sur le cluster local, puis s'exécute security key-manager onboard sync sur le cluster distant, en utilisant la même phrase de passe sur chacun d'eux.

  • Dans ONTAP 9.5, vous devez exécuter security key-manager setup sur le cluster local et security key-manager setup -sync-metrocluster-config yes sur le cluster distant, en utilisant la même phrase de passe sur chacun d'eux.

  • Avant ONTAP 9.5, vous devez exécuter security key-manager setup sur le cluster local, attendez environ 20 secondes, puis exécutez security key-manager setup sur le cluster distant, en utilisant la même phrase de passe sur chacun d'eux.

Par défaut, vous n'êtes pas tenu de saisir la phrase de passe du gestionnaire de clés lors du redémarrage d'un nœud. À partir de ONTAP 9.4, vous pouvez utiliser le -enable-cc-mode yes option pour exiger que les utilisateurs saisissent la phrase de passe après un redémarrage.

Pour NVE, si vous définissez -enable-cc-mode yes, volumes que vous créez avec volume create et volume move start les commandes sont automatiquement chiffrées. Pour volume create, vous n'avez pas besoin de spécifier -encrypt true. Pour volume move start, vous n'avez pas besoin de spécifier -encrypt-destination true.

Remarque

Après une tentative de phrase de passe, vous devez redémarrer le nœud.