Skip to main content
11.9
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

SANtricity System Managerで外部セキュリティキーを作成する

PDF

キー管理サーバでドライブ セキュリティ機能を使用するには、外部キーを作成し、キー管理サーバとストレージ アレイのセキュリティ対応ドライブで共有する必要があります。

開始する前に

  • アレイにセキュリティ対応ドライブが搭載されている必要があります。対応するドライブには、Full Disk Encryption(FDE)ドライブと連邦情報処理標準(FIPS)ドライブがあります。

    メモ

    ストレージ アレイにFDEドライブとFIPSドライブの両方が搭載されている場合、すべてのドライブで同じセキュリティ キーが共有されます。

  • ドライブ セキュリティ機能を有効にする必要があります。有効になっていない場合、このタスクの実行中に[セキュリティ キーを作成できません]ダイアログ ボックスが表示されます。ドライブ セキュリティ機能を有効にする手順については、必要に応じてストレージ ベンダーに問い合わせてください。

  • ストレージ アレイのコントローラの署名済みクライアント証明書ファイルを用意し、そのファイルをSystem Managerにアクセスするホストにコピーしておきます。クライアント証明書は、キー管理サーバがコントローラのKey Management Interoperability Protocol(KMIP)要求を信頼できるよう、ストレージ アレイのコントローラを検証します。

  • キー管理サーバから証明書ファイルを取得し、そのファイルをSystem Managerにアクセスするホストにコピーする必要があります。キー管理サーバ証明書は、ストレージ アレイがサーバのIPアドレスを信頼できるよう、キー管理サーバを検証します。キー管理サーバには、ルート証明書、中間証明書、またはサーバ証明書を使用できます。

    メモ

    サーバ証明書の詳細については、キー管理サーバのドキュメントを参照してください。
タスク概要

このタスクでは、キー管理サーバのIPアドレスと使用するポート番号を定義し、外部キー管理に使用する証明書をロードします。

手順

  1. メニュー:Settings[System]を選択します。

  2. * Security key management で、 Create External Key *を選択します。

    メモ

    現在内部キー管理が設定されている場合は、外部キー管理に切り替えるかどうかの確認を求めるダイアログ ボックスが表示されます。

    [外部セキュリティ キーの作成]ダイアログ ボックスが開きます。

  3. *Connect to Key Server*で、次のフィールドに情報を入力します。

    • キー管理サーバのアドレス — キー管理に使用するサーバの完全修飾ドメイン名またはIPアドレス(IPv4またはIPv6)を入力します。

    • キー管理ポート番号 — KMIP通信に使用するポート番号を入力します。キー管理サーバ通信で最も一般的に使用されるポート番号は5696です。

      *オプション:*バックアップキーサーバを設定する場合は、*Add Key Server*をクリックし、そのサーバの情報を入力します。2つ目のキーサーバは、プライマリキーサーバに到達できない場合に使用されます。各キーサーバが同じキーのデータベースにアクセスできることを確認してください。そうでない場合、アレイはエラーを通知し、バックアップサーバを使用できません。

    メモ 一度に使用されるキー サーバは1つだけです。プライマリ キー サーバにアクセスできない場合、ストレージ アレイはバックアップ キー サーバに接続します。両方のサーバが同等である必要があります。そうでない場合、エラーになる可能性があります。

    • クライアント証明書の選択 — 最初の 参照 ボタンをクリックして、ストレージアレイのコントローラ用の証明書ファイルを選択します。

    • 秘密鍵ファイルの選択 — 必要に応じて、2番目の*参照*ボタンをクリックして、ストレージアレイのコントローラ用の秘密鍵ファイルを選択します。

    • キー管理サーバーのサーバー証明書を選択します — 3番目の*参照*ボタンをクリックして、キー管理サーバーの証明書ファイルを選択します。キー管理サーバーには、ルート証明書、中間証明書、またはサーバー証明書のいずれかを選択できます。

  4. Next をクリックします。

  5. *Create/Backup Key*では、セキュリティ目的でバックアップキーを作成できます。

    • (推奨)バックアップキーを作成するには、チェックボックスを選択したまま、パスフレーズを入力して確認します。値は8~32文字で、次の各項目を含める必要があります:

      • 大文字のアルファベット(1文字以上)。パス フレーズでは大文字と小文字が区別されます。

      • 数字(1文字以上)。

      • 英数字以外の「!」、「*」、「@」などの文字(1文字以上)。

    注意

    後で使用するために、必ず入力内容を記録してください。セキュリティ保護が有効になっているドライブをストレージアレイから移動する必要がある場合は、ドライブのデータをロック解除するためのパスフレーズを知っている必要があります。

    +

    • バックアップキーを作成しない場合は、チェックボックスの選択を解除してください。

      注意

      バックアップ キーがないと、外部キー サーバへのアクセスが失われた場合に、別のストレージ アレイに移行されたドライブ上のデータにはアクセスできなくなります。このオプションは、System Managerでバックアップ キーを作成する唯一の方法です。

  6. *完了*をクリックします。

    入力したクレデンシャルを使用して、システムがキー管理サーバに接続されます。その後、セキュリティ キーのコピーがローカル システムに格納されます。

    メモ

    ダウンロード ファイルのパスは、ブラウザのデフォルトのダウンロード先に応じて異なる場合があります。

  7. パスフレーズとダウンロードしたキーファイルの場所を記録してから、*閉じる*をクリックしてください。

    次のメッセージと外部キー管理に関連したリンクが表示されます。

    Current key management method: External

  8. *Test Communication*を選択して、ストレージアレイとキー管理サーバ間の接続をテストします。

    テスト結果がダイアログ ボックスに表示されます。

結果

外部キー管理を有効にすると、セキュリティ有効のボリューム グループまたはプールを作成したり、既存のボリューム グループまたはプールでセキュリティを有効にしたりできます。

メモ

ドライブの電源をオフにしてオンにするたびに、すべてのセキュリティ有効ドライブがセキュリティ ロック状態になります。この状態のドライブのデータには、ドライブの初期化時に作成した正しいセキュリティ キーがコントローラによって適用されないかぎりアクセスできません。第三者がロックされたドライブを物理的に取り外して別のシステムに取り付けた場合でも、データへの不正アクセスを防止することができます。
終了後の操作

セキュリティ キーを検証して、キー ファイルが破損していないことを確認します。