Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP 9 .6以降で認証キーを作成する

共同作成者
PDF

コマンドを使用して、ノードの認証キーを作成し、設定したKMIPサーバに格納できます security key-manager key create

タスクの内容

セキュリティの設定でデータ認証とFIPS 140-2認証に異なるキーを使用する必要がある場合は、それぞれに別 々 のキーを作成する必要があります。そうでない場合は、FIPSへの準拠にデータアクセスと同じ認証キーを使用できます。

ONTAPでは、クラスタ内のすべてのノードの認証キーが作成されます。

  • このコマンドは、オンボードキーマネージャが有効になっている場合はサポートされません。ただし、オンボードキーマネージャを有効にすると、2つの認証キーが自動的に作成されます。キーを表示するには、次のコマンドを使用します。

    security key-manager key query -key-type NSE-AK

  • 設定済みのキー管理サーバにすでに128個を超える認証キーが格納されている場合は警告が表示されます。

  • コマンドを使用すると、使用されていないキーを削除できます security key-manager key delete。 `security key-manager key delete`指定したキーがONTAPで現在使用されている場合、コマンドは失敗します。( このコマンドを使用するには 'admin より大きい特権が必要です )

    メモ

    MetroCluster環境でキーを削除する前に、そのキーがパートナークラスタで使用されていないことを確認する必要があります。パートナークラスタで次のコマンドを使用して、キーが使用されていないことを確認できます。

    • storage encryption disk show -data-key-id key-id

    • storage encryption disk show -fips-key-id key-id
開始する前に

このタスクを実行するには、クラスタ管理者である必要があります。

手順

  1. クラスタノードの認証キーを作成します。

    security key-manager key create -key-tag passphrase_label -prompt-for-key true|false

    メモ

    を設定する `prompt-for-key=true`と、暗号化されたドライブを認証するときに、クラスタ管理者に使用するパスフレーズの入力を求めるプロンプトが表示されます。それ以外の場合は、32バイトのパスフレーズが自動的に生成されます。 `security key-manager key create`コマンドは、コマンドに置き換わるもの `security key-manager create-key`です。コマンド構文全体については、マニュアルページを参照してください。

    次の例は、の認証キーを作成し cluster1、32バイトのパスフレーズを自動的に生成します。

    cluster1::> security key-manager key create
Key ID: 000000000000000002000000000001006268333f870860128fbe17d393e5083b0000000000000000

  2. 認証キーが作成されたことを確認します。

    security key-manager key query -node node

    メモ 
    `security key-manager key query`コマンドは、コマンドに置き換わるもの `security key-manager query key`です。コマンド構文全体については、マニュアルページを参照してください。出力に表示されるキーIDは、認証キーの参照に使用する識別子です。実際の認証キーまたはデータ暗号化キーではありません。

    次の例では、の認証キーが作成されたことを確認し `cluster1`ます。

    cluster1::> security key-manager key query
       Vserver: cluster1
   Key Manager: external
          Node: node1

Key Tag                               Key Type  Restored
------------------------------------  --------  --------
node1                                 NSE-AK    yes
    Key ID: 000000000000000002000000000001000c11b3863f78c2273343d7ec5a67762e0000000000000000
node1                                 NSE-AK    yes
    Key ID: 000000000000000002000000000001006f4e2513353a674305872a4c9f3bf7970000000000000000

       Vserver: cluster1
   Key Manager: external
          Node: node2

Key Tag                               Key Type  Restored
------------------------------------  --------  --------
node2                                 NSE-AK    yes
    Key ID: 000000000000000002000000000001000c11b3863f78c2273343d7ec5a67762e0000000000000000
node2                                 NSE-AK    yes
    Key ID: 000000000000000002000000000001006f4e2513353a674305872a4c9f3bf7970000000000000000