ONTAP 9.6以降でNVEの外部キー管理を有効にする
変更を提案
PDF
KMIP サーバーを使用して、クラスターが暗号化されたデータにアクセスするために使用するキーを保護します。ONTAP 9.6以降では、必要に応じて別の外部キー管理ツールを設定して、データSVMが暗号化されたデータにアクセスする際に使用するキーを保護することもできます。
ONTAP 9 .11.1以降では、プライマリキーサーバごとに最大3つのセカンダリキーサーバを追加してクラスタ化されたキーサーバを作成できます。詳細については、を参照してください クラスタ化された外部キーサーバの設定。
1つのクラスタまたはSVMに最大4つのKMIPサーバを接続できます。冗長性と災害復旧のために少なくとも 2 台のサーバーを使用します。
外部キー管理の範囲によって、キー管理サーバがクラスタ内のすべてのSVMを保護するか、選択したSVMのみを保護するかが決まります。
-
クラスタ内のすべての SVM に対して外部キー管理を設定するには、 cluster scop を使用します。クラスタ管理者は、サーバに格納されているすべてのキーにアクセスできます。
-
ONTAP 9.6 以降では、 svm scop を使用して、クラスタ内のデータ SVM に外部キー管理を設定できます。これは、各テナントが異なるSVM(または一連のSVM)を使用してデータを提供するマルチテナント環境に最適です。特定のテナントのSVM管理者のみが、そのテナントのキーにアクセスできます。
-
マルチテナント環境の場合は、次のコマンドを使用して、 MT_EK_MGMT のライセンスをインストールします。
system license add -license-code <MT_EK_MGMT license code>の詳細については
system license add、を"ONTAPコマンド リファレンス"参照してください。
同じクラスタで両方のスコープを使用できます。1つのSVMに対してキー管理サーバが設定されている場合は、それらのサーバのみを使用してキーが保護されます。そうでない場合は、クラスタに対して設定されたキー管理サーバでキーが保護されます。
オンボードキー管理はクラスタスコープで設定し、外部キー管理はSVMスコープで設定できます。コマンドを使用すると、クラスタスコープのオンボードキー管理からSVMスコープの外部キー管理ツールにキーを移行できます security key-manager key migrate。
の詳細については security key-manager key migrate、を"ONTAPコマンド リファレンス"参照してください。
-
KMIP SSLクライアント証明書とサーバ証明書をインストールしておく必要があります。
-
このタスクを実行するには、クラスタ管理者またはSVM管理者である必要があります。
-
MetroCluster環境の場合:
-
外部キー管理を有効にする前に、 MetroCluster を完全に構成する必要があります。
-
両方のクラスターに同じ KMIP SSL 証明書をインストールする必要があります。
-
両方のクラスターで外部キー マネージャーを構成する必要があります。
-
-
クラスタのキー管理ツールの接続を設定します。
security key-manager external enable -vserver admin_SVM -key-servers host_name|IP_address:port,… -client-cert client_certificate -server-ca-cert server_CA_certificates
その `security key-manager external enable`コマンドは `security key-manager setup`指示。クラスタログインプロンプトでコマンドを実行すると、 `admin_SVM`デフォルトは現在のクラスタの管理 SVM になります。実行することができます `security key-manager external modify`外部キー管理構成を変更するコマンド。 次のコマンドは、3台の外部キーサーバでの外部キー管理を有効にします
cluster1。1つ目のキーサーバはホスト名とポートを使用して指定し、2つ目のキーサーバはIPアドレスとデフォルトポートを使用して指定し、3つ目のキーサーバはIPv6アドレスとポートを使用して指定します。clusterl::> security key-manager external enable -vserver cluster1 -key-servers ks1.local:15696,10.0.0.10,[fd20:8b1e:b255:814e:32bd:f35c:832c:5a09]:1234 -client-cert AdminVserverClientCert -server-ca-certs AdminVserverServerCaCert
-
SVMでキー管理ツールを設定します。
security key-manager external enable -vserver SVM -key-servers host_name|IP_address:port,… -client-cert client_certificate -server-ca-cert server_CA_certificates
-
SVMログインプロンプトでコマンドを実行すると、 `SVM`デフォルトは現在の SVM になります。実行することができます `security key-manager external modify`外部キー管理構成を変更するコマンド。
-
MetroCluster環境でデータSVMの外部キー管理を設定する場合、パートナークラスタでこのコマンドを繰り返す必要はありません
security key-manager external enable。
次のコマンドは、デフォルトポート5696をリスンする単一のキーサーバでの外部キー管理を有効にします
svm1。svm1l::> security key-manager external enable -vserver svm1 -key-servers keyserver.svm1.com -client-cert SVM1ClientCert -server-ca-certs SVM1ServerCaCert
-
-
SVMを追加する場合は、最後の手順を繰り返します。
コマンドを使用して追加のSVMを設定することもできます
security key-manager external add-servers。security key-manager external add-servers`コマンドは、コマンドに置き換わるもの `security key-manager add`です。の詳細については `security key-manager external add-servers、を"ONTAPコマンド リファレンス"参照してください。 -
設定したすべてのKMIPサーバが接続されていることを確認します。
security key-manager external show-status -node node_name
`security key-manager external show-status`コマンドは、コマンドに置き換わるもの `security key-manager show -status`です。の詳細については `security key-manager external show-status`、をlink:https://docs.netapp.com/us-en/ontap-cli/security-key-manager-external-show-status.html["ONTAPコマンド リファレンス"^]参照してください。
cluster1::> security key-manager external show-status Node Vserver Key Server Status ---- ------- --------------------------------------- ------------- node1 svm1 keyserver.svm1.com:5696 available cluster1 10.0.0.10:5696 available fd20:8b1e:b255:814e:32bd:f35c:832c:5a09:1234 available ks1.local:15696 available node2 svm1 keyserver.svm1.com:5696 available cluster1 10.0.0.10:5696 available fd20:8b1e:b255:814e:32bd:f35c:832c:5a09:1234 available ks1.local:15696 available 8 entries were displayed. -
必要に応じて、プレーンテキストボリュームを暗号化ボリュームに変換します。
volume encryption conversion startボリュームを変換する前に、外部キー管理ツールの設定をすべて完了しておく必要があります。