Désinfectez un lecteur FIPS ou SED
Suggérer des modifications
PDF
Si vous voulez rendre les données sur un lecteur FIPS ou SED définitivement inaccessibles et utiliser le lecteur pour les nouvelles données, vous pouvez utiliser le storage encryption disk sanitize commande de nettoyage du disque.
Lorsque vous procédez à la suppression d'un disque à auto-cryptage, le système modifie la clé de cryptage sur disque en une nouvelle valeur aléatoire, réinitialise l'état de verrouillage à la mise sous tension sur FALSE et définit l'ID de clé sur une valeur par défaut, soit l'ID sécurisé du fabricant 0x0 (disques SAS), soit une clé nulle (disques NVMe). Cela rend les données sur le disque inaccessibles et impossible à récupérer. Vous pouvez réutiliser des disques aseptisés comme disques de rechange non remis à zéro.
Vous devez être un administrateur de cluster pour effectuer cette tâche.
-
Migrer toutes les données qui doivent être conservées vers un agrégat sur un autre disque.
-
Supprimez l'agrégat du lecteur FIPS ou SED pour les désinfecter :
storage aggregate delete -aggregate aggregate_namePour connaître la syntaxe complète de la commande, reportez-vous à la page man.
cluster1::> storage aggregate delete -aggregate aggr1
-
Identifiez l'ID du disque pour le lecteur FIPS ou SED à désinfecter :
storage encryption disk show -fields data-key-id,fips-key-id,ownerPour connaître la syntaxe complète de la commande, reportez-vous à la page man.
cluster1::> storage encryption disk show Disk Mode Data Key ID ----- ---- ---------------------------------------------------------------- 0.0.0 data F1CB30AFF1CB30B00101000000000000A68B167F92DD54196297159B5968923C 0.0.1 data F1CB30AFF1CB30B00101000000000000A68B167F92DD54196297159B5968923C 1.10.2 data F1CB30AFF1CB30B00101000000000000CF0EFD81EA9F6324EA97B369351C56AC [...]
-
Si un lecteur FIPS est exécuté en mode FIPS-Compliance, définissez l'ID de clé d'authentification FIPS du nœud sur le MSID 0x0 par défaut :
storage encryption disk modify -disk disk_id -fips-key-id 0x0Vous pouvez utiliser le
security key-manager queryCommande permettant d'afficher les ID de clés.cluster1::> storage encryption disk modify -disk 1.10.2 -fips-key-id 0x0 Info: Starting modify on 1 disk. View the status of the operation by using the storage encryption disk show-status command. -
Désinfectez le lecteur :
storage encryption disk sanitize -disk disk_idVous pouvez utiliser cette commande pour désinfecter uniquement les disques de rechange à chaud ou endommagés. Pour désinfecter tous les disques, quel que soit leur type, utilisez le
-force-all-stateoption. Pour connaître la syntaxe complète de la commande, reportez-vous à la page man.
ONTAP vous invite à saisir une phrase de confirmation avant de continuer. Saisissez la phrase exactement comme indiqué à l'écran. cluster1::> storage encryption disk sanitize -disk 1.10.2 Warning: This operation will cryptographically sanitize 1 spare or broken self-encrypting disk on 1 node. To continue, enter sanitize disk: sanitize disk Info: Starting sanitize on 1 disk. View the status of the operation using the storage encryption disk show-status command. -
Éliminez la panne du disque désinfecté :
storage disk unfail -spare true -disk disk_id -
Vérifiez si le disque est propriétaire :
storage disk show -disk disk_id
Si le disque ne possède pas de propriétaire, attribuez-en un.storage disk assign -owner node -disk disk_id -
Entrez le nodeshell pour le nœud qui possède les disques à désinfecter :
system node run -node node_nameExécutez le
disk sanitize releasecommande. -
Quittez le nodeshell. Éliminez à nouveau la panne du disque :
storage disk unfail -spare true -disk disk_id -
Vérifier que le disque est désormais une pièce de rechange et prêt à être réutilisé dans un agrégat :
storage disk show -disk disk_id