外部キー管理を設定する
変更を提案
PDF
以下の手順に従い、リストされている Element API メソッドを使用して、外部キー管理機能を設定できます。
-
保存時のソフトウェア暗号化と組み合わせて外部キー管理を設定する場合は、保存時のソフトウェア暗号化を次のように有効にする必要があります。"CreateCluster"ボリュームを含まない新しいクラスター上のメソッド。
-
外部キー サーバー (EKS) との信頼関係を確立します。
-
次の API メソッドを呼び出して、キー サーバーとの信頼関係を確立するために使用される Element クラスターの公開キー/秘密キー ペアを作成します。"公開鍵ペアの作成"
-
認証局が署名する必要がある証明書署名要求 (CSR) を取得します。 CSR により、キー サーバーは、キーにアクセスする Element クラスターが Element クラスターとして認証されていることを確認できます。次の API メソッドを呼び出します。"GetClientCertificateSignRequest"
-
EKS/証明機関を使用して、取得した CSR に署名します。詳細については、サードパーティのドキュメントを参照してください。
-
-
EKS と通信するために、クラスター上にサーバーとプロバイダーを作成します。キープロバイダーはキーを取得する場所を定義し、サーバーは通信する EKS の特定の属性を定義します。
-
次の API メソッドを呼び出して、キー サーバーの詳細が保存されるキー プロバイダーを作成します。"キープロバイダーKmipの作成"
-
次の API メソッドを呼び出して、署名付き証明書と証明機関の公開鍵証明書を提供するキー サーバーを作成します。"キーサーバーKmipの作成" "テストキーサーバーKmip"
テストが失敗した場合は、サーバーの接続と構成を確認してください。その後、テストを繰り返します。
-
次の API メソッドを呼び出して、キー サーバーをキー プロバイダー コンテナーに追加します。"プロバイダーKmipにキーサーバーを追加" "テストキープロバイダーKmip"
テストが失敗した場合は、サーバーの接続と構成を確認してください。その後、テストを繰り返します。
-
-
保存時の暗号化の次のステップとして、次のいずれかを実行します。
-
(保存時のハードウェア暗号化の場合)有効にする"保存時のハードウェア暗号化"鍵を保存するために使用する鍵サーバーを含む鍵プロバイダーのIDを指定して、"保存時の暗号化を有効にする" API メソッド。
保存時の暗号化を有効にするには、"API" 。既存の Element UI ボタンを使用して保存時の暗号化を有効にすると、機能は内部で生成されたキーを使用するようになります。 -
(保存時のソフトウェア暗号化の場合)"保存時のソフトウェア暗号化"新しく作成されたキープロバイダーを利用するには、キープロバイダーIDを"再鍵ソフトウェア暗号化保存マスターキー"API メソッド。
-