日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP 9.6 以降で認証キーを作成します

寄稿者 netapp-thomi

「 securitykey-manager key create 」コマンドを使用して、ノードの認証キーを作成し、設定済みの KMIP サーバに格納できます。

このタスクを実行するには、クラスタ管理者である必要があります。

セキュリティの設定によりデータ認証と FIPS 140-2 認証に異なるキーを使用する必要がある場合は、それぞれの認証用のキーを作成する必要があります。そうでない場合は、 FIPS 準拠の認証キーをデータアクセスにも使用できます。

ONTAP では、クラスタ内のすべてのノードに対して認証キーが作成されます。

  • このコマンドは、オンボードキーマネージャが有効になっている場合はサポートされません。ただし、オンボードキーマネージャを有効にすると、 2 つの認証キーが自動的に作成されます。キーを表示するには、次のコマンドを使用します。

    「 securitykey manager key query-key-type NSE-AK 」を参照してください

  • 設定済みのキー管理サーバにすでに 128 個を超える認証キーが格納されている場合は警告が表示されます。

    「 securitykey-manager key delete 」コマンドを使用すると、使用されていないキーを削除できます。指定されたキーが現在 ONTAP で使用されている場合、「 securitykey-manager key delete 」コマンドは失敗します。( このコマンドを使用するには 'admin より大きい特権が必要です )

手順
  1. クラスタノードの認証キーを作成します。

    「 securitykey manager key create -key-tag passphrase -prompt-for-key true | false 」のように指定します

    注記

    「 prompt-for-key=true 」を設定すると、暗号化されたドライブの認証時にクラスタ管理者に対して使用するパスフレーズの入力が要求されます。設定しない場合は、 32 バイトのパスフレーズが自動的に生成されます。「 securitykey-manager key create 」コマンドは、「 securitykey-manager create-key 」コマンドに代わるコマンドです。コマンド構文全体については、マニュアルページを参照してください。

    次の例では 'cluster1 の認証キーを作成し '32 バイトのパスフレーズを自動的に生成します

    cluster1::> security key-manager key create
    Key ID: 000000000000000002000000000001006268333f870860128fbe17d393e5083b0000000000000000
  2. 認証キーが作成されたことを確認します。

    「 securitykey manager key query -node node 」を参照してください

    注記

    「 securitykey-manager key query 」コマンドは、「 securitykey-manager query key 」コマンドに代わるコマンドです。コマンド構文全体については、マニュアルページを参照してください。出力に表示されるキー ID は、認証キーを参照するために使用される識別子です。実際の認証キーまたはデータ暗号化キーではありません。

    次の例では、「 cluster1 」の認証キーが作成されたことを確認します。

    cluster1::> security key-manager key query
           Vserver: cluster1
       Key Manager: external
              Node: node1
    
    Key Tag                               Key Type  Restored
    ------------------------------------  --------  --------
    node1                                 NSE-AK    yes
        Key ID: 000000000000000002000000000001000c11b3863f78c2273343d7ec5a67762e0000000000000000
    node1                                 NSE-AK    yes
        Key ID: 000000000000000002000000000001006f4e2513353a674305872a4c9f3bf7970000000000000000
    
           Vserver: cluster1
       Key Manager: external
              Node: node2
    
    Key Tag                               Key Type  Restored
    ------------------------------------  --------  --------
    node2                                 NSE-AK    yes
        Key ID: 000000000000000002000000000001000c11b3863f78c2273343d7ec5a67762e0000000000000000
    node2                                 NSE-AK    yes
        Key ID: 000000000000000002000000000001006f4e2513353a674305872a4c9f3bf7970000000000000000