Skip to main content
本製品の最新リリースがご利用いただけます。
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

外部キー管理を使用する場合は、ドライブのロックを解除します

共同作成者

外部キー管理を設定したあとに、セキュリティ有効ドライブをストレージアレイ間で移動した場合、ドライブ上の暗号化データにアクセスできるようにするには、新しいストレージアレイにセキュリティキーを再割り当てする必要があります。

作業を開始する前に
  • ソースアレイ(ドライブを削除するアレイ)でボリュームグループをエクスポートし、ドライブを削除しておきます。ターゲットアレイにドライブを取り付け直しておきます。

    メモ エクスポート/インポート機能はSystem Managerユーザインターフェイスではサポートされていません。ボリュームグループを別のストレージアレイにエクスポート/インポートするには、コマンドラインインターフェイス(CLI)を使用する必要があります。

    ボリュームグループの移行手順の詳細については、を参照してください "ネットアップナレッジベース"。System Managerで管理されている新しいアレイや従来型システムの場合は、該当する手順に従ってください。

  • ドライブセキュリティ機能を有効にする必要があります。そうしないと、このタスクの実行中に[セキュリティキーを作成できません]ダイアログボックスが開きます。ドライブセキュリティ機能を有効にする手順については、必要に応じてストレージベンダーに問い合わせてください。

  • キー管理サーバのIPアドレスとポート番号を確認しておく必要があります。

  • ストレージアレイのコントローラ用の署名済みクライアント証明書ファイルが必要です。このファイルをSystem Managerにアクセスするホストにコピーしておきます。クライアント証明書は、キー管理サーバが自身のKey Management Interoperability Protocol(KMIP)要求を信頼できるよう、ストレージアレイのコントローラを検証します。

  • キー管理サーバから証明書ファイルを取得し、そのファイルをSystem Managerにアクセスするホストにコピーする必要があります。キー管理サーバ証明書は、ストレージアレイがサーバのIPアドレスを信頼できるよう、キー管理サーバを検証します。キー管理サーバには、ルート証明書、中間証明書、またはサーバ証明書を使用できます。

メモ

サーバ証明書の詳細については、キー管理サーバのドキュメントを参照してください。

このタスクについて

外部キー管理を使用する場合、セキュリティキーは、安全なセキュリティキー用に設計されたサーバの外部に格納されます。セキュリティキーは、読み取り/書き込みアクセス用にコントローラとドライブで共有される文字列です。ドライブをアレイから物理的に取り外して別のドライブに取り付けると、正しいセキュリティキーを指定しないかぎり動作しません。

メモ

コントローラの永続的メモリから内部キーを作成するか、キー管理サーバから外部キーを作成することができます。ここでは、_external_key管理を使用する場合のデータのロック解除について説明します。internal_key管理を使用した場合は、を参照してください "内部キー管理を使用する場合は、ドライブのロックを解除します"。コントローラのアップグレードを実行していて、すべてのコントローラを最新のハードウェアに交換する場合は、EシリーズおよびSANtricity ドキュメントセンターのに記載されている手順を実行する必要があります "ドライブのロックを解除する"

セキュリティ有効ドライブを別のアレイに再インストールすると、そのアレイでドライブが検出され、「Needs Attention」状態と「Security Key Needed」ステータスが表示されます。 ドライブデータのロックを解除するには、セキュリティキーファイルをインポートし、キーのパスフレーズを入力します。(このパスフレーズはストレージアレイの管理者パスワードとは異なります)。 このプロセスでは、外部キー管理サーバを使用するようにストレージアレイを設定すると、セキュアキーにアクセスできるようになります。ストレージアレイがセキュリティキーに接続して取得するためには、サーバの連絡先情報を指定する必要があります。

新しいストレージアレイに取り付けられている他のセキュリティ有効ドライブでは、インポートするセキュリティキーとは別のセキュリティキーが使用される場合があります。インポートプロセスでは、取り付けるドライブのデータのロック解除にのみ古いセキュリティキーが使用されます。ロック解除プロセスが成功すると、新しく取り付けたドライブのキーがターゲットストレージアレイのセキュリティキーに変更されます。

手順
  1. メニューを選択します。[設定][システム]。

  2. セキュリティキー管理*で、*外部キーの作成*を選択します。

  3. 必要な接続情報と証明書を指定してウィザードに入力します。

  4. 通信のテスト]をクリックして、外部キー管理サーバへのアクセスを確認します。

  5. [セキュアドライブのロック解除]を選択します。

    [セキュアドライブのロック解除]ダイアログボックスが開きます。セキュリティキーを必要とするドライブがテーブルに表示されます。

  6. *オプション:ドライブ番号にカーソルを合わせると、ドライブの場所(シェルフ番号とベイ番号)が表示されます。

  7. [*参照]をクリックし、ロックを解除するドライブに対応するセキュリティキーファイルを選択します。

    選択したキーファイルがダイアログボックスに表示されます。

  8. このキーファイルに関連付けられているパスフレーズを入力します。

    入力した文字はマスクされます。

  9. [ロック解除]をクリックします。

    ロック解除処理が成功すると、「The associated secure drives have been unlocked」というメッセージを示すダイアログボックスが表示されます。

結果

すべてのドライブがロックされたあとでロック解除されると、ストレージアレイ内の各コントローラがリブートされます。ただし、ターゲットストレージアレイ内の一部のドライブがすでにロック解除されている場合、コントローラはリブートされません。

完了後

デスティネーションアレイ(新しく設置したドライブがあるアレイ)でボリュームグループをインポートできるようになりました。

メモ エクスポート/インポート機能はSystem Managerユーザインターフェイスではサポートされていません。ボリュームグループを別のストレージアレイにエクスポート/インポートするには、コマンドラインインターフェイス(CLI)を使用する必要があります。

ボリュームグループの移行手順の詳細については、を参照してください "ネットアップナレッジベース"