ONTAP 9.5 以前でオンボードキー管理を有効にします
-
このドキュメント ページのPDF
-
ボリューム管理
- CLI を使用した論理ストレージ管理
-
NAS ストレージ管理
-
CLIを使用したSMBの管理
- SMB を使用したファイルアクセスの管理
-
CLIを使用したSMBの管理
- セキュリティとデータ暗号化
-
ボリューム管理
PDF版ドキュメントのセット
Creating your file...
オンボードキーマネージャを使用して、クラスタノードを FIPS ドライブまたは SED に対して認証できます。オンボードキーマネージャは組み込みのツールで、データと同じストレージシステムからノードに認証キーを提供します。オンボードキーマネージャは FIPS-140-2 レベル 1 に準拠しています。
オンボードキーマネージャを使用して、暗号化されたデータにアクセスする際にクラスタで使用するキーを安全に保管できます。オンボードキーマネージャは、暗号化されたボリュームや自己暗号化ディスクにアクセスする各クラスタで有効にする必要があります。
を実行する必要があります security key-manager setup
コマンドはクラスタにノードを追加するたびに実行します。
MetroCluster 構成を使用する場合は、次のガイドラインを確認してください。
-
ONTAP 9.5では、を実行する必要があります
security key-manager setup
ローカルクラスタおよびsecurity key-manager setup -sync-metrocluster-config yes
リモートクラスタで、それぞれで同じパスフレーズを使用します。 -
ONTAP 9.5より前のバージョンでは、を実行する必要があります
security key-manager setup
ローカルクラスタで、約20秒待ってからを実行しますsecurity key-manager setup
リモートクラスタで、それぞれで同じパスフレーズを使用します。
デフォルトでは、ノードのリブート時にキー管理ツールのパスフレーズを入力する必要はありません。ONTAP 9.4以降では、 -enable-cc-mode yes
リブート後にユーザにパスフレーズの入力を求めるオプション。
NVEの場合は、を設定します -enable-cc-mode yes`を使用して作成したボリューム `volume create
および volume move start
コマンドは自動的に暗号化されます。の場合 volume create`を指定する必要はありません `-encrypt true
。の場合 volume move start`を指定する必要はありません `-encrypt-destination true
。
パスフレーズの試行に失敗した場合は、ノードを再起動する必要があります。 |
-
NSE で外部キー管理( KMIP )サーバを使用している場合は、外部キー管理ツールのデータベースを削除しておく必要があります。
-
このタスクを実行するには、クラスタ管理者である必要があります。
-
オンボードキーマネージャを設定する前に、 MetroCluster 環境を設定する必要があります。
-
キー管理ツールのセットアップを開始します。
security key-manager setup -enable-cc-mode yes|no
ONTAP 9.4以降では、 -enable-cc-mode yes
リブート後にユーザにキー管理ツールのパスフレーズの入力を求めるオプション。NVEの場合は、を設定します-enable-cc-mode yes`を使用して作成したボリューム `volume create
およびvolume move start
コマンドは自動的に暗号化されます。次の例では、リブートのたびにパスフレーズの入力を求めずに、 cluster1 でキー管理ツールをセットアップします。
cluster1::> security key-manager setup Welcome to the key manager setup wizard, which will lead you through the steps to add boot information. ... Would you like to use onboard key-management? {yes, no} [yes]: Enter the cluster-wide passphrase: <32..256 ASCII characters long text> Reenter the cluster-wide passphrase: <32..256 ASCII characters long text>
-
入力するコマンド
yes
オンボードキー管理を設定するプロンプトが表示されます。 -
パスフレーズのプロンプトで 32 ~ 256 文字のパスフレーズを入力します。または、 64 ~ 256 文字のパスフレーズを「 cc-mode] 」に入力します。
指定された "cc-mode" パスフレーズが 64 文字未満の場合、キー管理ツールのセットアップ操作によってパスフレーズのプロンプトが再表示されるまでに 5 秒の遅延が発生します。 -
パスフレーズの確認のプロンプトでパスフレーズをもう一度入力します。
-
キーがすべてのノードに設定されていることを確認します。
security key-manager key show
コマンド構文全体については、マニュアルページを参照してください。
cluster1::> security key-manager key show Node: node1 Key Store: onboard Key ID Used By ---------------------------------------------------------------- -------- 0000000000000000020000000000010059851742AF2703FC91369B7DB47C4722 NSE-AK 000000000000000002000000000001008C07CC0AF1EF49E0105300EFC83004BF NSE-AK Node: node2 Key Store: onboard Key ID Used By ---------------------------------------------------------------- -------- 0000000000000000020000000000010059851742AF2703FC91369B7DB47C4722 NSE-AK 000000000000000002000000000001008C07CC0AF1EF49E0105300EFC83004BF NSE-AK
キー管理情報は、クラスタの Replicated Database ( RDB ;複製データベース)にすべて自動的にバックアップされます。
オンボードキーマネージャのパスフレーズを設定するときは、災害時に備えて、ストレージシステムの外部の安全な場所にも手動で情報をバックアップしておく必要があります。を参照してください "オンボードキー管理情報を手動でバックアップ"。