日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP 9.5以前でハードウェアベースの暗号化の外部キー管理を有効にする

10/17/2025 共同作成者

PDF

1つ以上のKMIPサーバを使用して、暗号化されたデータにアクセスする際にクラスタで使用するキーを安全に保管できます。1つのノードに最大4つのKMIPサーバを接続できます。冗長性とディザスタリカバリのために、少なくとも2台のサーバが推奨されます。

タスクの内容

ONTAPでは、クラスタ内のすべてのノードに対してKMIPサーバの接続が設定されます。

開始する前に

KMIP SSLクライアント証明書とサーバ証明書をインストールしておく必要があります。
このタスクを実行するには、クラスタ管理者である必要があります。
外部キー管理ツールを設定する前に、MetroCluster環境を設定する必要があります。
MetroCluster環境では、両方のクラスタに同じKMIP SSL証明書をインストールする必要があります。

手順

クラスタノードのキー管理ツールの接続を設定します。

security key-manager setup

キー管理ツールのセットアップが開始されます。

MetroCluster環境では、このコマンドを両方のクラスタで実行する必要があります。詳細はこちら `security key-manager setup`の中で"ONTAPコマンドリファレンス"。

各プロンプトで適切な応答を入力します。
KMIPサーバを追加します。

security key-manager add -address key_management_server_ipaddress
```
clusterl::> security key-manager add -address 20.1.1.1
```
MetroCluster環境の場合は、両方のクラスタでこのコマンドを実行する必要があります。
冗長性を確保するためにKMIPサーバを追加します。

security key-manager add -address key_management_server_ipaddress
```
clusterl::> security key-manager add -address 20.1.1.2
```
MetroCluster環境の場合は、両方のクラスタでこのコマンドを実行する必要があります。

設定したすべてのKMIPサーバが接続されていることを確認します。

security key-manager show -status

この手順で説明されているコマンドの詳細については、"ONTAPコマンドリファレンス" 。

cluster1::> security key-manager show -status

Node            Port      Registered Key Manager  Status
--------------  ----      ----------------------  ---------------
cluster1-01     5696      20.1.1.1                available
cluster1-01     5696      20.1.1.2                available
cluster1-02     5696      20.1.1.1                available
cluster1-02     5696      20.1.1.2                available

必要に応じて、プレーンテキストボリュームを暗号化ボリュームに変換します。

volume encryption conversion start

ボリュームを変換する前に、外部キー管理ツールの設定をすべて完了しておく必要があります。MetroCluster環境では、両方のサイトに外部キー管理ツールを設定する必要があります。

ONTAP 9.5以前でハードウェアベースの暗号化の外部キー管理を有効にする

Creating your file...