Skip to main content
11.9
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

SANtricity System Managerで外部キー管理を使用する際にドライブのロックを解除します

PDF

外部キー管理を設定したあとにセキュリティ有効ドライブをストレージ アレイ間で移動した場合、ドライブ上の暗号化データにアクセスできるようにするには、新しいストレージ アレイにセキュリティ キーを再度割り当てる必要があります。

開始する前に

  • ソース アレイ(ドライブを取り外すアレイ)で、ボリューム グループをエクスポートし、ドライブを取り外します。ターゲット アレイにドライブを取り付けます。

    メモ System Managerではエクスポート / インポート機能がサポートされていません。ボリューム グループを別のストレージ アレイにエクスポート / インポートするには、コマンドライン インターフェイス(CLI)を使用する必要があります。

    ボリューム グループの移行に関する詳細な手順は、 "NetAppのナレッジ ベース"に記載されています。System Managerで管理される新しいアレイ、または旧システムの場合は、それぞれの適切な手順に従ってください。

  • ドライブ セキュリティ機能を有効にする必要があります。有効になっていない場合、このタスクの実行中に[セキュリティ キーを作成できません]ダイアログ ボックスが表示されます。ドライブ セキュリティ機能を有効にする手順については、必要に応じてストレージ ベンダーに問い合わせてください。

  • キー管理サーバのIPアドレスとポート番号を把握しておく必要があります。

  • ストレージ アレイのコントローラの署名済みクライアント証明書ファイルを用意し、そのファイルをSystem Managerにアクセスするホストにコピーしておきます。クライアント証明書は、キー管理サーバがコントローラのKey Management Interoperability Protocol(KMIP)要求を信頼できるよう、ストレージ アレイのコントローラを検証します。

  • キー管理サーバから証明書ファイルを取得し、そのファイルをSystem Managerにアクセスするホストにコピーする必要があります。キー管理サーバ証明書は、ストレージ アレイがサーバのIPアドレスを信頼できるよう、キー管理サーバを検証します。キー管理サーバには、ルート証明書、中間証明書、またはサーバ証明書を使用できます。

メモ

サーバ証明書の詳細については、キー管理サーバのドキュメントを参照してください。
タスク概要

外部キー管理を使用する場合、セキュリティ キーは、セキュリティ キーの保護を目的とする外部サーバに格納されます。セキュリティ キーは、読み取り / 書き込みアクセス用にコントローラとドライブで共有される文字列です。ドライブをアレイから物理的に取り外して別のドライブに取り付けた場合、正しいセキュリティ キーを指定するまでドライブは動作しません。

メモ

コントローラの永続メモリから内部キーを作成するか、キー管理サーバから外部キーを作成できます。このトピックでは、_外部_キー管理を使用する場合のデータのロック解除について説明します。_内部_キー管理を使用した場合は、"内部キー管理を使用する場合のドライブのロック解除"を参照してください。コントローラのアップグレードを実行し、すべてのコントローラを最新のハードウェアに交換する場合は、EシリーズおよびSANtricityドキュメントセンターの"ドライブのロック解除"に記載されている別の手順に従う必要があります。

セキュリティ有効ドライブを別のアレイに取り付けると、そのアレイでドライブが検出され、「要対応」状態となって「セキュリティ キーが必要です」というステータスが表示されます。ドライブ データのロックを解除するには、セキュリティ キー ファイルをインポートし、キーのパス フレーズを入力します(このパス フレーズはストレージ アレイの管理者パスワードとは異なります)。その際に、外部キー管理サーバを使用するようにストレージ アレイを設定すると、セキュリティ キーにアクセスできるようになります。ストレージ アレイが接続してセキュリティ キーを取得できるように、サーバの接続情報を指定する必要があります。

新しいストレージアレイに他のセキュリティ対応ドライブがインストールされている場合、それらのドライブはインポートしようとしているものとは異なるセキュリティキーを使用する可能性があります。インポート処理中、古いセキュリティキーは、インストールするドライブのデータをロック解除するためだけに使用されます。ロック解除処理が成功すると、新しくインストールされたドライブは、ターゲットストレージアレイのセキュリティキーに合わせて再キー設定されます。

手順

  1. メニュー:Settings[System]を選択します。

  2. * Security key management で、 Create External Key *を選択します。

  3. ウィザードの手順に従って、接続情報と証明書を入力します。

  4. *Test Communication*をクリックして、外部キー管理サーバーへのアクセスを確認します。

  5. *Unlock Secure Drives*を選択します。

    「セキュアドライブのロック解除」ダイアログボックスが開きます。セキュリティキーが必要なドライブは、表に表示されます。

  6. Optional: ドライブ番号にマウスカーソルを合わせると、ドライブの位置(シェルフ番号とベイ番号)が表示されます。

  7. *Browse*をクリックし、ロックを解除するドライブに対応するセキュリティキーファイルを選択します。

    選択したキー ファイルがダイアログ ボックスに表示されます。

  8. このキー ファイルに関連付けられているパス フレーズを入力します。

    入力した文字はマスクされます。

  9. Unlock をクリックします。

    ロック解除処理が成功すると、「The associated secure drives have been unlocked」というメッセージを示すダイアログ ボックスが表示されます。

結果

すべてのドライブがロックされたあとでロック解除されると、ストレージ アレイ内の各コントローラがリブートされます。ただし、ターゲット ストレージ アレイ内の一部のドライブがすでにロック解除されている場合、コントローラはリブートされません。

終了後の操作

デスティネーション アレイ(ドライブを新たに取り付けたアレイ)でボリューム グループをインポートできるようになりました。

メモ System Managerではエクスポート / インポート機能がサポートされていません。ボリューム グループを別のストレージ アレイにエクスポート / インポートするには、コマンドライン インターフェイス(CLI)を使用する必要があります。

ボリューム グループの移行に関する詳細な手順は、 "NetAppのナレッジ ベース"に記載されています。