Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP 9 .6以降で認証キーを作成する

共同作成者
PDF

コマンドを使用して、ノードの認証キーを作成し、設定したKMIPサーバに格納できます security key-manager key create

タスクの内容

セキュリティの設定でデータ認証とFIPS 140-2認証に異なるキーを使用する必要がある場合は、それぞれに別 々 のキーを作成する必要があります。そうでない場合は、FIPSへの準拠にデータアクセスと同じ認証キーを使用できます。

ONTAPでは、クラスタ内のすべてのノードの認証キーが作成されます。

  • このコマンドは、オンボードキーマネージャが有効になっている場合はサポートされません。ただし、オンボードキーマネージャを有効にすると、2つの認証キーが自動的に作成されます。キーを表示するには、次のコマンドを使用します。

    security key-manager key query -key-type NSE-AK

  • 設定済みのキー管理サーバにすでに128個を超える認証キーが格納されている場合は警告が表示されます。

  • コマンドを使用すると、使用されていないキーを削除できます security key-manager key deletesecurity key-manager key delete`指定したキーがONTAPで現在使用されている場合、コマンドは失敗します。(このコマンドを使用するには、より大きいPrivilegesが必要です `admin)。

    メモ

    MetroCluster環境でキーを削除する前に、そのキーがパートナークラスタで使用されていないことを確認する必要があります。パートナークラスタで次のコマンドを使用して、キーが使用されていないことを確認できます。

    • storage encryption disk show -data-key-id <key-id>

    • storage encryption disk show -fips-key-id <key-id>
開始する前に

このタスクを実行するには、クラスタ管理者である必要があります。

手順

  1. クラスタノードの認証キーを作成します。

    security key-manager key create -key-tag <passphrase_label> -prompt-for-key true|false
    Cli
    Copy
    メモ

    を設定する prompt-for-key=true`と、暗号化されたドライブを認証するときに、クラスタ管理者に使用するパスフレーズの入力を求めるプロンプトが表示されます。それ以外の場合は、32バイトのパスフレーズが自動的に生成されます。 `security key-manager key create`コマンドは、コマンドに置き換わるもの `security key-manager create-key`です。の詳細については `security key-manager key create、を"ONTAPコマンド リファレンス"参照してください。

    次の例は、の認証キーを作成し cluster1、32バイトのパスフレーズを自動的に生成します。

    cluster1::> security key-manager key create
Key ID: <id_value>

  2. 認証キーが作成されたことを確認します。

    security key-manager key query -node node
    メモ 
    `security key-manager key query`コマンドは、コマンドに置き換わるもの `security key-manager query key`です。の詳細については `security key-manager key query`、をlink:https://docs.netapp.com/us-en/ontap-cli/security-key-manager-key-query.html["ONTAPコマンド リファレンス"^]参照してください。出力に表示されるキーIDは、認証キーの参照に使用する識別子です。実際の認証キーまたはデータ暗号化キーではありません。

    次の例では、の認証キーが作成されたことを確認し `cluster1`ます。

    cluster1::> security key-manager key query
       Vserver: cluster1
   Key Manager: external
          Node: node1

Key Tag                               Key Type  Restored
------------------------------------  --------  --------
node1                                 NSE-AK    yes
    Key ID: <id_value>
node1                                 NSE-AK    yes
    Key ID: <id_value>

       Vserver: cluster1
   Key Manager: external
          Node: node2

Key Tag                               Key Type  Restored
------------------------------------  --------  --------
node2                                 NSE-AK    yes
    Key ID: <id_value>
node2                                 NSE-AK    yes
    Key ID: <id_value>