ONTAP 9 .6以降で外部キー管理を有効にする(NVE)
変更を提案
PDF
1つ以上のKMIPサーバを使用して、暗号化されたデータにアクセスする際にクラスタで使用するキーを安全に保管できます。ONTAP 9 .6以降では、独立した外部キー管理ツールを設定して、データSVMが暗号化されたデータにアクセスする際に使用するキーを保護することができます。
ONTAP 9 .11.1以降では、プライマリキーサーバごとに最大3つのセカンダリキーサーバを追加してクラスタ化されたキーサーバを作成できます。詳細については、を参照してください クラスタ化された外部キーサーバの設定。
1つのクラスタまたはSVMに最大4つのKMIPサーバを接続できます。冗長性とディザスタリカバリのために、少なくとも2台のサーバが推奨されます。
外部キー管理の範囲によって、キー管理サーバがクラスタ内のすべてのSVMを保護するか、選択したSVMのみを保護するかが決まります。
-
クラスタ内のすべての SVM に対して外部キー管理を設定するには、 cluster scop を使用します。クラスタ管理者は、サーバに格納されているすべてのキーにアクセスできます。
-
ONTAP 9.6 以降では、 svm scop を使用して、クラスタ内のデータ SVM に外部キー管理を設定できます。これは、各テナントが異なるSVM(または一連のSVM)を使用してデータを提供するマルチテナント環境に最適です。特定のテナントのSVM管理者のみが、そのテナントのキーにアクセスできます。
-
マルチテナント環境の場合は、次のコマンドを使用して、 MT_EK_MGMT のライセンスをインストールします。
system license add -license-code <MT_EK_MGMT license code>完全なコマンド構文については、コマンドのマニュアルページを参照してください。
同じクラスタで両方のスコープを使用できます。1つのSVMに対してキー管理サーバが設定されている場合は、それらのサーバのみを使用してキーが保護されます。そうでない場合は、クラスタに対して設定されたキー管理サーバでキーが保護されます。
オンボードキー管理はクラスタスコープで設定し、外部キー管理はSVMスコープで設定できます。コマンドを使用すると、クラスタスコープのオンボードキー管理からSVMスコープの外部キー管理ツールにキーを移行できます security key-manager key migrate。
-
KMIP SSLクライアント証明書とサーバ証明書をインストールしておく必要があります。
-
このタスクを実行するには、クラスタ管理者またはSVM管理者である必要があります。
-
MetroCluster環境で外部キー管理を有効にする場合は、外部キー管理を有効にする前にMetroClusterの設定をすべて完了しておく必要があります。
-
MetroCluster環境では、両方のクラスタに同じKMIP SSL証明書をインストールする必要があります。
-
クラスタのキー管理ツールの接続を設定します。
security key-manager external enable -vserver admin_SVM -key-servers host_name|IP_address:port,… -client-cert client_certificate -server-ca-cert server_CA_certificates
-
`security key-manager external enable`コマンドは、コマンドに置き換わるもの `security key-manager setup`です。このコマンドをクラスタのログインプロンプトで実行すると、が `admin_SVM`デフォルトで現在のクラスタの管理SVMに設定されます。クラスタスコープを設定するには、クラスタ管理者である必要があります。外部キー管理の設定を変更するには、コマンドを実行し `security key-manager external modify`ます。
-
MetroCluster環境で管理SVMに外部キー管理を設定する場合は、パートナークラスタでこのコマンドを繰り返す必要があります
security key-manager external enable。
次のコマンドは、3台の外部キーサーバでの外部キー管理を有効にします
cluster1。1つ目のキーサーバはホスト名とポートを使用して指定し、2つ目のキーサーバはIPアドレスとデフォルトポートを使用して指定し、3つ目のキーサーバはIPv6アドレスとポートを使用して指定します。clusterl::> security key-manager external enable -vserver cluster1 -key-servers ks1.local:15696,10.0.0.10,[fd20:8b1e:b255:814e:32bd:f35c:832c:5a09]:1234 -client-cert AdminVserverClientCert -server-ca-certs AdminVserverServerCaCert
-
-
SVMでキー管理ツールを設定します。
security key-manager external enable -vserver SVM -key-servers host_name|IP_address:port,… -client-cert client_certificate -server-ca-cert server_CA_certificates
-
このコマンドをSVMのログインプロンプトで実行すると、が `SVM`デフォルトで現在のSVMに設定されます。SVMスコープを設定するには、クラスタ管理者またはSVM管理者である必要があります。外部キー管理の設定を変更するには、コマンドを実行し `security key-manager external modify`ます。
-
MetroCluster環境でデータSVMの外部キー管理を設定する場合、パートナークラスタでこのコマンドを繰り返す必要はありません
security key-manager external enable。
次のコマンドは、デフォルトポート5696をリスンする単一のキーサーバでの外部キー管理を有効にします
svm1。svm1l::> security key-manager external enable -vserver svm1 -key-servers keyserver.svm1.com -client-cert SVM1ClientCert -server-ca-certs SVM1ServerCaCert
-
-
SVMを追加する場合は、最後の手順を繰り返します。
コマンドを使用して追加のSVMを設定することもできます
security key-manager external add-servers。 `security key-manager external add-servers`コマンドは、コマンドに置き換わるもの `security key-manager add`です。コマンド構文全体については、マニュアルページを参照してください。 -
設定したすべてのKMIPサーバが接続されていることを確認します。
security key-manager external show-status -node node_name
`security key-manager external show-status`コマンドは、コマンドに置き換わるもの `security key-manager show -status`です。コマンド構文全体については、マニュアルページを参照してください。
cluster1::> security key-manager external show-status Node Vserver Key Server Status ---- ------- --------------------------------------- ------------- node1 svm1 keyserver.svm1.com:5696 available cluster1 10.0.0.10:5696 available fd20:8b1e:b255:814e:32bd:f35c:832c:5a09:1234 available ks1.local:15696 available node2 svm1 keyserver.svm1.com:5696 available cluster1 10.0.0.10:5696 available fd20:8b1e:b255:814e:32bd:f35c:832c:5a09:1234 available ks1.local:15696 available 8 entries were displayed. -
必要に応じて、プレーンテキストボリュームを暗号化ボリュームに変換します。
volume encryption conversion startボリュームを変換する前に、外部キー管理ツールの設定をすべて完了しておく必要があります。MetroCluster環境では、両方のサイトに外部キー管理ツールを設定する必要があります。