Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

外部キー管理の使用時のドライブのロック解除

共同作成者
PDF

外部キー管理を設定したあとにセキュリティ有効ドライブをストレージアレイ間で移動した場合、ドライブ上の暗号化されたデータにアクセスできるようにするには、セキュリティキーを新しいストレージアレイに再割り当てする必要があります。

開始する前に

  • ソースアレイ(ドライブを取り外すアレイ)で、ボリュームグループをエクスポートし、ドライブを取り外しておきます。ターゲットアレイにドライブを取り付け直しておきます。

    メモ エクスポート/インポート機能はSystem Managerユーザインターフェイスではサポートされていません。ボリュームグループを別のストレージアレイにエクスポート/インポートするには、コマンドラインインターフェイス(CLI)を使用する必要があります。

    ボリュームグループの移行の詳細な手順については、を参照して "NetAppナレッジベース"ください。System Managerで管理している新しいアレイや従来型システムのアレイについては、該当する手順に従ってください。

  • ドライブセキュリティ機能が有効になっている必要があります。そうしないと、このタスクの実行中に[セキュリティキーを作成できません]ダイアログボックスが開きます。ドライブセキュリティ機能を有効にする手順については、必要に応じてストレージベンダーにお問い合わせください。

  • キー管理サーバのIPアドレスとポート番号を確認しておく必要があります。

  • ストレージアレイのコントローラ用の署名済みクライアント証明書ファイルがあり、そのファイルをSystem Managerにアクセスするホストにコピーしておきます。クライアント証明書はストレージアレイのコントローラを検証し、キー管理サーバがKey Management Interoperability Protocol(KMIP)要求を信頼できるようにします。

  • キー管理サーバから証明書ファイルを取得し、そのファイルをSystem Managerにアクセスするホストにコピーする必要があります。キー管理サーバ証明書は、ストレージアレイがサーバのIPアドレスを信頼できるように、キー管理サーバを検証します。キー管理サーバには、ルート証明書、中間証明書、またはサーバ証明書を使用できます。

メモ

サーバ証明書の詳細については、キー管理サーバのドキュメントを参照してください。
タスクの内容

外部キー管理を使用する場合、セキュリティキーは外部のサーバに格納され、セキュリティキーを保護するように設計されています。セキュリティキーは、読み取り/書き込みアクセス用にコントローラとドライブで共有される文字列です。ドライブをアレイから物理的に取り外して別のドライブに取り付けた場合、正しいセキュリティキーを指定するまでドライブは動作しません。

メモ

コントローラの永続的メモリから内部キーを作成するか、キー管理サーバから外部キーを作成できます。ここでは、_external_key管理を使用する場合のデータのロック解除について説明します。内部キー管理を使用した場合は、を参照してください"内部キー管理の使用時のドライブのロック解除"。コントローラのアップグレードを実行し、すべてのコントローラを最新のハードウェアに交換する場合は、のEシリーズおよびSANtricityドキュメントセンターに記載されている手順に従う必要があります。"ドライブのロック解除"

セキュリティ有効ドライブを別のアレイに取り付けると、そのアレイでドライブが検出され、「要対応」状態となって「セキュリティ キーが必要です」というステータスが表示されます。ドライブ データのロックを解除するには、セキュリティ キー ファイルをインポートし、キーのパス フレーズを入力します(このパスフレーズはストレージアレイの管理者パスワードとは異なります)。その際に、外部キー管理サーバを使用するようにストレージ アレイを設定すると、セキュリティ キーにアクセスできるようになります。ストレージアレイに接続してセキュリティキーを取得するためには、サーバの連絡先情報を指定する必要があります。

新しいストレージアレイに取り付けられている他のセキュリティ有効ドライブでは、インポートするセキュリティキーとは異なるセキュリティキーが使用される場合があります。インポートプロセスでは、取り付けようとしているドライブのデータのロックを解除するためにのみ古いセキュリティキーが使用されます。ロック解除プロセスが完了すると、新しく取り付けたドライブのキーがターゲットストレージアレイのセキュリティキーに変更されます。

手順

  1. メニューを選択します。[設定][システム]。

  2. セキュリティキー管理*で、*外部キーの作成*を選択します。

  3. 必要な接続情報と証明書をウィザードに入力します。

  4. 通信のテスト]をクリックして、外部キー管理サーバへのアクセスを確認します。

  5. [セキュアドライブのロック解除]を選択します。

    [セキュアドライブのロック解除]ダイアログボックスが開きます。セキュリティキーを必要とするドライブが表に表示されます。

  6. *オプション:ドライブ番号にカーソルを合わせると、ドライブの場所(シェルフ番号とベイ番号)が表示されます。

  7. [*参照]をクリックし、ロックを解除するドライブに対応するセキュリティキーファイルを選択します。

    選択したキーファイルがダイアログボックスに表示されます。

  8. このキーファイルに関連付けられているパスフレーズを入力します。

    入力した文字はマスクされます。

  9. [ロック解除]をクリックします。

    ロック解除処理が成功すると、ダイアログボックスに「The associated secure drives have been unlocked」と表示されます。

結果

すべてのドライブがロックされてロックが解除されると、ストレージアレイ内の各コントローラがリブートされます。ただし、ターゲットストレージアレイ内にロック解除されたドライブがすでにある場合、コントローラはリブートされません。

終了後

デスティネーションアレイ(新しくドライブを取り付けたアレイ)で、ボリュームグループをインポートできるようになりました。

メモ エクスポート/インポート機能はSystem Managerユーザインターフェイスではサポートされていません。ボリュームグループを別のストレージアレイにエクスポート/インポートするには、コマンドラインインターフェイス(CLI)を使用する必要があります。

ボリュームグループの移行の詳細な手順については、を参照して "NetAppナレッジベース"ください。