ONTAP 9.6 以降で外部キー管理を有効にする( NVE )
-
このドキュメント ページのPDF
-
ボリューム管理
- CLI を使用した論理ストレージ管理
-
NAS ストレージ管理
-
CLIを使用したSMBの管理
- SMB を使用したファイルアクセスの管理
-
CLIを使用したSMBの管理
- セキュリティとデータ暗号化
-
ボリューム管理
PDF版ドキュメントのセット
Creating your file...
1 つ以上の KMIP サーバを使用して、暗号化されたデータにアクセスする際にクラスタで使用するキーを安全に保管できます。ONTAP 9.6以降では、データSVMが暗号化されたデータにアクセスする際に使用するキーを保護するための独立した外部キー管理ツールを設定できます。
ONTAP 9.11.1以降では、プライマリキーサーバごとに最大3つのセカンダリキーサーバを追加してクラスタ化されたキーサーバを作成できます。詳細については、を参照してください クラスタ構成の外部キーサーバを構成。
1 つのクラスタまたは SVM に最大 4 つの KMIP サーバを接続できます。冗長性とディザスタリカバリのために、少なくとも 2 台のサーバを使用することを推奨します。
外部キー管理のスコープによって、キー管理サーバの保護対象がクラスタ内のすべての SVM になるか、選択した SVM のみになるかが決まります。
-
クラスタ内のすべての SVM に対して外部キー管理を設定するには、 cluster scop を使用します。クラスタ管理者は、サーバに格納されているすべてのキーにアクセスできます。
-
ONTAP 9.6 以降では、 svm scop を使用して、クラスタ内のデータ SVM に外部キー管理を設定できます。各テナントが異なる SVM (または SVM のセット)を使用してデータを提供するマルチテナント環境には、この方法が最適です。特定のテナントの SVM 管理者だけが、そのテナントのキーにアクセスできます。
-
マルチテナント環境の場合は、次のコマンドを使用して、 MT_EK_MGMT のライセンスをインストールします。
system license add -license-code <MT_EK_MGMT license code>
コマンド構文全体については、コマンドのマニュアルページを参照してください。
同じクラスタで両方のスコープを使用できます。1 つの SVM に対してキー管理サーバが設定されている場合、 ONTAP はそれらのサーバのみを使用してキーを保護します。それ以外 ONTAP の場合は、クラスタに対して設定されたキー管理サーバでキーが保護されます。
オンボードキー管理はクラスタスコープで設定でき、外部キー管理は SVM スコープで設定できます。を使用できます security key-manager key migrate
コマンドを使用して、クラスタスコープのオンボードキー管理からSVMスコープの外部キー管理ツールにキーを移行します。
-
KMIP SSL クライアント証明書とサーバ証明書をインストールしておく必要があります。
-
このタスクを実行するには、クラスタ管理者または SVM の管理者である必要があります。
-
MetroCluster 環境で外部キー管理を有効にする場合は、外部キー管理を有効にする前に MetroCluster が完全に設定されている必要があります。
-
MetroCluster 環境では、両方のクラスタにKMIP SSL証明書をインストールする必要があります。
-
クラスタのキー管理ツールの接続を設定します。
security key-manager external enable -vserver admin_SVM -key-servers host_name|IP_address:port,… -client-cert client_certificate -server-ca-cert server_CA_certificates
-
。
security key-manager external enable
コマンドは、に置き換わるものですsecurity key-manager setup
コマンドを実行しますクラスタのログインプロンプトでコマンドを実行すると、admin_SVM
デフォルトでは、現在のクラスタの管理SVMが使用されます。 クラスタスコープを設定するには、クラスタ管理者である必要があります。を実行できますsecurity key-manager external modify
コマンドを使用して、外部キー管理の設定を変更します。 -
MetroCluster 環境で管理SVMに外部キー管理を設定する場合は、を繰り返す必要があります
security key-manager external enable
パートナークラスタに対して実行します。
次のコマンドは、の外部キー管理を有効にします
cluster1
3つの外部キーサーバで構成されます。最初のキーサーバはホスト名とポートで指定し、 2 番目のキーサーバは IP アドレスとデフォルトポートで指定し、 3 番目のキーサーバは IPv6 アドレスとポートで指定します。clusterl::> security key-manager external enable -vserver cluster1 -key-servers ks1.local:15696,10.0.0.10,[fd20:8b1e:b255:814e:32bd:f35c:832c:5a09]:1234 -client-cert AdminVserverClientCert -server-ca-certs AdminVserverServerCaCert
-
-
キー管理ツールとして SVM を設定します。
security key-manager external enable -vserver SVM -key-servers host_name|IP_address:port,… -client-cert client_certificate -server-ca-cert server_CA_certificates
-
SVMのログインプロンプトでコマンドを実行すると、
SVM
デフォルトは現在のSVMです。 SVM スコープを設定するには、クラスタ管理者または SVM 管理者である必要があります。を実行できますsecurity key-manager external modify
コマンドを使用して、外部キー管理の設定を変更します。 -
MetroCluster 環境でデータSVMに外部キー管理を設定する場合は、の手順を繰り返す必要はありません
security key-manager external enable
パートナークラスタに対して実行します。
次のコマンドは、の外部キー管理を有効にします
svm1
単一のキーサーバがデフォルトポート5696でリスンしている場合:svm1l::> security key-manager external enable -vserver svm1 -key-servers keyserver.svm1.com -client-cert SVM1ClientCert -server-ca-certs SVM1ServerCaCert
-
-
最後の手順をその他の SVM に対して繰り返します。
を使用することもできます
security key-manager external add-servers
コマンドを使用して追加のSVMを設定します。。security key-manager external add-servers
コマンドは、に置き換わるものですsecurity key-manager add
コマンドを実行しますコマンド構文全体については、マニュアルページを参照してください。 -
設定したすべての KMIP サーバが接続されていることを確認します。
security key-manager external show-status -node node_name
。
security key-manager external show-status
コマンドは、に置き換わるものですsecurity key-manager show -status
コマンドを実行しますコマンド構文全体については、マニュアルページを参照してください。cluster1::> security key-manager external show-status Node Vserver Key Server Status ---- ------- --------------------------------------- ------------- node1 svm1 keyserver.svm1.com:5696 available cluster1 10.0.0.10:5696 available fd20:8b1e:b255:814e:32bd:f35c:832c:5a09:1234 available ks1.local:15696 available node2 svm1 keyserver.svm1.com:5696 available cluster1 10.0.0.10:5696 available fd20:8b1e:b255:814e:32bd:f35c:832c:5a09:1234 available ks1.local:15696 available 8 entries were displayed.
-
必要に応じて、プレーンテキストボリュームを暗号化ボリュームに変換します。
volume encryption conversion start
ボリュームを変換する前に、外部キー管理ツールの設定をすべて完了しておく必要があります。MetroCluster環境では、両方のサイトに外部キー管理ツールを設定する必要があります。