ONTAP 9.5以前でハードウェアベースの暗号化の外部キー管理を有効にする
変更を提案
PDF
1つ以上のKMIPサーバを使用して、暗号化されたデータにアクセスする際にクラスタで使用するキーを安全に保管できます。1つのノードに最大4つのKMIPサーバを接続できます。冗長性とディザスタリカバリのために、少なくとも2台のサーバが推奨されます。
ONTAPでは、クラスタ内のすべてのノードに対してKMIPサーバの接続が設定されます。
-
KMIP SSLクライアント証明書とサーバ証明書をインストールしておく必要があります。
-
このタスクを実行するには、クラスタ管理者である必要があります。
-
外部キー管理ツールを設定する前に、MetroCluster環境を設定する必要があります。
-
MetroCluster環境では、両方のクラスタに同じKMIP SSL証明書をインストールする必要があります。
-
クラスタノードのキー管理ツールの接続を設定します。
security key-manager setupキー管理ツールのセットアップが開始されます。
MetroCluster 環境では、両方のクラスタでこのコマンドを実行する必要があります。の詳細については security key-manager setup、を"ONTAPコマンド リファレンス"参照してください。 -
各プロンプトで適切な応答を入力します。
-
KMIPサーバを追加します。
security key-manager add -address key_management_server_ipaddressclusterl::> security key-manager add -address 20.1.1.1
MetroCluster環境の場合は、両方のクラスタでこのコマンドを実行する必要があります。 -
冗長性を確保するためにKMIPサーバを追加します。
security key-manager add -address key_management_server_ipaddressclusterl::> security key-manager add -address 20.1.1.2
MetroCluster環境の場合は、両方のクラスタでこのコマンドを実行する必要があります。 -
設定したすべてのKMIPサーバが接続されていることを確認します。
security key-manager show -statusこの手順で説明されているコマンドの詳細については、を"ONTAPコマンド リファレンス"参照してください。
cluster1::> security key-manager show -status Node Port Registered Key Manager Status -------------- ---- ---------------------- --------------- cluster1-01 5696 20.1.1.1 available cluster1-01 5696 20.1.1.2 available cluster1-02 5696 20.1.1.1 available cluster1-02 5696 20.1.1.2 available
-
必要に応じて、プレーンテキストボリュームを暗号化ボリュームに変換します。
volume encryption conversion startボリュームを変換する前に、外部キー管理ツールの設定をすべて完了しておく必要があります。MetroCluster環境では、両方のサイトに外部キー管理ツールを設定する必要があります。