Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP 9.6 以降で認証キーを作成します

共同作成者
PDF

を使用できます security key-manager key create コマンドを使用してノードの認証キーを作成し、設定したKMIPサーバに格納します。

このタスクについて

セキュリティの設定によりデータ認証と FIPS 140-2 認証に異なるキーを使用する必要がある場合は、それぞれの認証用のキーを作成する必要があります。そうでない場合は、FIPSへの準拠にデータアクセスと同じ認証キーを使用できます。

ONTAP では、クラスタ内のすべてのノードに対して認証キーが作成されます。

  • このコマンドは、オンボードキーマネージャが有効になっている場合はサポートされません。ただし、オンボードキーマネージャを有効にすると、 2 つの認証キーが自動的に作成されます。キーを表示するには、次のコマンドを使用します。

    security key-manager key query -key-type NSE-AK

  • 設定済みのキー管理サーバにすでに 128 個を超える認証キーが格納されている場合は警告が表示されます。

  • を使用できます security key-manager key delete 使用されていないキーを削除するコマンド。。 security key-manager key delete 指定したキーがONTAP で現在使用されている場合、コマンドは失敗します。( このコマンドを使用するには 'admin より大きい特権が必要です )

    メモ

    MetroCluster 環境でキーを削除する前に、キーがパートナークラスタで使用されていないことを確認する必要があります。パートナークラスタで次のコマンドを使用して、キーが使用されていないことを確認できます。

    • storage encryption disk show -data-key-id key-id

    • storage encryption disk show -fips-key-id key-id
作業を開始する前に

このタスクを実行するには、クラスタ管理者である必要があります。

手順

  1. クラスタノードの認証キーを作成します。

    security key-manager key create -key-tag passphrase_label -prompt-for-key true|false

    メモ

    設定 prompt-for-key=true 暗号化されたドライブを認証するときに、クラスタ管理者に使用するパスフレーズの入力を求めるプロンプトが表示されます。設定しない場合は、 32 バイトのパスフレーズが自動的に生成されます。 。 security key-manager key create コマンドは、に置き換わるものです security key-manager create-key コマンドを実行しますコマンド構文全体については、マニュアルページを参照してください。

    次の例は、の認証キーを作成します `cluster1`では、32バイトのパスフレーズが自動的に生成されます。

    cluster1::> security key-manager key create
Key ID: 000000000000000002000000000001006268333f870860128fbe17d393e5083b0000000000000000

  2. 認証キーが作成されたことを確認します。

    security key-manager key query -node node

    メモ

    security key-manager key query コマンドは、に置き換わるものです security key-manager query key コマンドを実行しますコマンド構文全体については、マニュアルページを参照してください。 出力に表示されるキー ID は、認証キーを参照するために使用される識別子です。実際の認証キーまたはデータ暗号化キーではありません。

    次の例は、の認証キーが作成されたことを確認します cluster1

    cluster1::> security key-manager key query
       Vserver: cluster1
   Key Manager: external
          Node: node1

Key Tag                               Key Type  Restored
------------------------------------  --------  --------
node1                                 NSE-AK    yes
    Key ID: 000000000000000002000000000001000c11b3863f78c2273343d7ec5a67762e0000000000000000
node1                                 NSE-AK    yes
    Key ID: 000000000000000002000000000001006f4e2513353a674305872a4c9f3bf7970000000000000000

       Vserver: cluster1
   Key Manager: external
          Node: node2

Key Tag                               Key Type  Restored
------------------------------------  --------  --------
node2                                 NSE-AK    yes
    Key ID: 000000000000000002000000000001000c11b3863f78c2273343d7ec5a67762e0000000000000000
node2                                 NSE-AK    yes
    Key ID: 000000000000000002000000000001006f4e2513353a674305872a4c9f3bf7970000000000000000