Skip to main content
12.5
本製品の最新リリースがご利用いただけます。
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

外部キー管理をセットアップする

共同作成者
PDF

以下の手順に従い、リストされている Element API メソッドを使用して外部キー管理機能を設定できます。

必要なもの

  • 外部キー管理と保存データのソフトウェア暗号化を組み合わせて設定する場合は、ボリュームが含まれていない新しいクラスタでメソッドを使用して保存データのソフトウェア暗号化を有効にしておきます"クラスタの作成"

手順

  1. 外部キーサーバ( EKS )との信頼関係を確立します。

    1. 次のAPIメソッドを呼び出して、キーサーバとの信頼関係の確立に使用するElementクラスタの公開鍵と秘密鍵のペアを作成します。"CreatePublicPrivateKeyPair"

    2. 認証局が署名する必要がある証明書署名要求( CSR )を取得します。CSR によって、キーサーバはキーにアクセスする Element クラスタが Element クラスタとして認証されていることを確認できます。次のAPIメソッドを呼び出します。"GetClientCertificateSignRequest"

    3. EKS と認証局を使用して、取得した CSR に署名します。詳細については、サードパーティのドキュメントを参照してください。

  2. クラスタにサーバとプロバイダを作成して、 EKS と通信します。キープロバイダはキーを取得する場所を定義し、サーバは通信する EKS の特定の属性を定義します。

    1. 次のAPIメソッドを呼び出して、キーサーバの詳細を格納するキープロバイダを作成します。"CreateKeyProviderKmip"

    2. 次のAPIメソッドを呼び出して、署名済み証明書と認証局の公開鍵証明書を提供するキーサーバを作成します。"CreateKeyServerKmip のように指定します" "TestKeyServerKmip"

      テストに失敗した場合は、サーバの接続と設定を確認します。その後、テストを繰り返します。

    3. 次のAPIメソッドを呼び出して、キーサーバをキープロバイダコンテナに追加します。"AddKeyServerToProviderKmip のように指定します" "TestKeyProviderKmip"

      テストに失敗した場合は、サーバの接続と設定を確認します。その後、テストを繰り返します。

  3. 保存データの暗号化の次の手順として、次のいずれかを実行します。

    1. (保存データのハードウェア暗号化の場合)"保存データのハードウェア暗号化"APIメソッドを呼び出して、キーの格納に使用するキーサーバを含むキープロバイダのIDを指定します"EnableEncryptionAtRest"

      メモ で保存データの暗号化を有効にする必要があります"API"。既存の Element UI ボタンを使用して保存データの暗号化を有効にすると、原因機能で内部で生成されたキーの使用に戻ります。

    2. (保存データのソフトウェア暗号化の場合)新しく作成されたキープロバイダを利用するに"ソフトウェアによる保存データの暗号化"は、キープロバイダIDをAPIメソッドに渡します"RekeySoftwareEncryptionAtRestMasterKey"

詳細情報