Skip to main content
12.5 and 12.7
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

外部キー管理をセットアップする

共同作成者
PDF

以下の手順に従い、リストされている Element API メソッドを使用して外部キー管理機能を設定できます。

必要なもの

  • 外部キー管理と保存データの暗号化を組み合わせて設定する場合は、を使用して保存データのソフトウェア暗号化を有効にしておきます "クラスタを作成" ボリュームを含まない新しいクラスタ上のメソッド。

手順

  1. 外部キーサーバ( EKS )との信頼関係を確立します。

    1. 次の API メソッドを呼び出して、キーサーバとの信頼関係を確立するために使用する、 Element クラスタの公開鍵と秘密鍵のペアを作成します。 "CreatePublicPrivateKeyPair"

    2. 認証局が署名する必要がある証明書署名要求( CSR )を取得します。CSR によって、キーサーバはキーにアクセスする Element クラスタが Element クラスタとして認証されていることを確認できます。次の API メソッドを呼び出します。 "GetClientCertificateSignRequest"

    3. EKS と認証局を使用して、取得した CSR に署名します。詳細については、サードパーティのドキュメントを参照してください。

  2. クラスタにサーバとプロバイダを作成して、 EKS と通信します。キープロバイダはキーを取得する場所を定義し、サーバは通信する EKS の特定の属性を定義します。

    1. 次の API メソッドを呼び出して、キーサーバの詳細が格納されるキープロバイダを作成します。 "CreateKeyProviderKmip"

    2. 次の API メソッドを呼び出して、署名済み証明書と認証局の公開鍵証明書を提供するキーサーバを作成します。 "CreateKeyServerKmip のように指定します" "TestKeyServerKmip"

      テストに失敗した場合は、サーバの接続と設定を確認します。その後、テストを繰り返します。

    3. 次の API メソッドを呼び出して、キーサーバをキープロバイダコンテナに追加します。"AddKeyServerToProviderKmip のように指定します" "TestKeyProviderKmip"

      テストに失敗した場合は、サーバの接続と設定を確認します。その後、テストを繰り返します。

  3. 保存データの暗号化の次の手順として、次のいずれかを実行します。

    1. (保存中のハードウェア暗号化の場合)有効にします "保存データのハードウェア暗号化" キーの格納に使用するキーサーバを含むキープロバイダの ID を指定するには、を呼び出します "EnableEncryptionAtRest" API メソッド。

      メモ 保存データの暗号化はを使用して有効にする必要があります "API"。既存の Element UI ボタンを使用して保存データの暗号化を有効にすると、原因機能で内部で生成されたキーの使用に戻ります。

    2. (ソフトウェアによる保存データの暗号化)を実行します "ソフトウェアによる保存データの暗号化" 新しく作成したキープロバイダを使用するには、キープロバイダ ID をに渡します "RekeySoftwareEncryptionAtRestMasterKey" API メソッド。

詳細については、こちらをご覧ください