外部キー管理をセットアップする
変更を提案
PDF
以下の手順に従い、リストされている Element API メソッドを使用して外部キー管理機能を設定できます。
-
外部キー管理と保存データの暗号化を組み合わせて設定する場合は、を使用して保存データのソフトウェア暗号化を有効にしておきます "クラスタを作成" ボリュームを含まない新しいクラスタ上のメソッド。
-
外部キーサーバ( EKS )との信頼関係を確立します。
-
次の API メソッドを呼び出して、キーサーバとの信頼関係を確立するために使用する、 Element クラスタの公開鍵と秘密鍵のペアを作成します。 "CreatePublicPrivateKeyPair"
-
認証局が署名する必要がある証明書署名要求( CSR )を取得します。CSR によって、キーサーバはキーにアクセスする Element クラスタが Element クラスタとして認証されていることを確認できます。次の API メソッドを呼び出します。 "GetClientCertificateSignRequest"
-
EKS と認証局を使用して、取得した CSR に署名します。詳細については、サードパーティのドキュメントを参照してください。
-
-
クラスタにサーバとプロバイダを作成して、 EKS と通信します。キープロバイダはキーを取得する場所を定義し、サーバは通信する EKS の特定の属性を定義します。
-
次の API メソッドを呼び出して、キーサーバの詳細が格納されるキープロバイダを作成します。 "CreateKeyProviderKmip"
-
次の API メソッドを呼び出して、署名済み証明書と認証局の公開鍵証明書を提供するキーサーバを作成します。 "CreateKeyServerKmip のように指定します" "TestKeyServerKmip"
テストに失敗した場合は、サーバの接続と設定を確認します。その後、テストを繰り返します。
-
次の API メソッドを呼び出して、キーサーバをキープロバイダコンテナに追加します。"AddKeyServerToProviderKmip のように指定します" "TestKeyProviderKmip"
テストに失敗した場合は、サーバの接続と設定を確認します。その後、テストを繰り返します。
-
-
保存データの暗号化の次の手順として、次のいずれかを実行します。
-
(保存中のハードウェア暗号化の場合)有効にします "保存データのハードウェア暗号化" キーの格納に使用するキーサーバを含むキープロバイダの ID を指定するには、を呼び出します "EnableEncryptionAtRest" API メソッド。
保存データの暗号化はを使用して有効にする必要があります "API"。既存の Element UI ボタンを使用して保存データの暗号化を有効にすると、原因機能で内部で生成されたキーの使用に戻ります。 -
(ソフトウェアによる保存データの暗号化)を実行します "ソフトウェアによる保存データの暗号化" 新しく作成したキープロバイダを使用するには、キープロバイダ ID をに渡します "RekeySoftwareEncryptionAtRestMasterKey" API メソッド。
-