外部キー管理をセットアップする
変更を提案
PDF
以下の手順に従い、リストされている Element API メソッドを使用して外部キー管理機能を設定できます。
-
外部キー管理と保存データのソフトウェア暗号化を組み合わせて設定する場合は、ボリュームが含まれていない新しいクラスタでメソッドを使用して保存データのソフトウェア暗号化を有効にしておきます"クラスタの作成"。
-
外部キーサーバ( EKS )との信頼関係を確立します。
-
次のAPIメソッドを呼び出して、キーサーバとの信頼関係の確立に使用するElementクラスタの公開鍵と秘密鍵のペアを作成します。"CreatePublicPrivateKeyPair"
-
認証局が署名する必要がある証明書署名要求( CSR )を取得します。CSR によって、キーサーバはキーにアクセスする Element クラスタが Element クラスタとして認証されていることを確認できます。次のAPIメソッドを呼び出します。"GetClientCertificateSignRequest"
-
EKS と認証局を使用して、取得した CSR に署名します。詳細については、サードパーティのドキュメントを参照してください。
-
-
クラスタにサーバとプロバイダを作成して、 EKS と通信します。キープロバイダはキーを取得する場所を定義し、サーバは通信する EKS の特定の属性を定義します。
-
次のAPIメソッドを呼び出して、キーサーバの詳細を格納するキープロバイダを作成します。"CreateKeyProviderKmip"
-
次のAPIメソッドを呼び出して、署名済み証明書と認証局の公開鍵証明書を提供するキーサーバを作成します。"CreateKeyServerKmip のように指定します" "TestKeyServerKmip"
テストに失敗した場合は、サーバの接続と設定を確認します。その後、テストを繰り返します。
-
次のAPIメソッドを呼び出して、キーサーバをキープロバイダコンテナに追加します。"AddKeyServerToProviderKmip のように指定します" "TestKeyProviderKmip"
テストに失敗した場合は、サーバの接続と設定を確認します。その後、テストを繰り返します。
-
-
保存データの暗号化の次の手順として、次のいずれかを実行します。
-
(保存データのハードウェア暗号化の場合)"保存データのハードウェア暗号化"APIメソッドを呼び出して、キーの格納に使用するキーサーバを含むキープロバイダのIDを指定します"EnableEncryptionAtRest"。
で保存データの暗号化を有効にする必要があります"API"。既存の Element UI ボタンを使用して保存データの暗号化を有効にすると、原因機能で内部で生成されたキーの使用に戻ります。 -
(保存データのソフトウェア暗号化の場合)新しく作成されたキープロバイダを利用するに"ソフトウェアによる保存データの暗号化"は、キープロバイダIDをAPIメソッドに渡します"RekeySoftwareEncryptionAtRestMasterKey"。
-