Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

オンボード キー管理の有効化(ONTAP 9.5以前)

共同作成者 netapp-aaron-holt netapp-barbe netapp-dbagwell netapp-ahibbard netapp-thomi netapp-aherbin
PDF

オンボード キー マネージャを使用して、クラスタ ノードをFIPSドライブまたはSEDに対して認証できます。オンボード キー マネージャは組み込みのツールで、データと同じストレージ システムからノードに認証キーを提供します。オンボード キー マネージャはFIPS-140-2レベル1に準拠しています。

オンボードキーマネージャーを使用すると、クラスターが暗号化されたデータにアクセスするために使用するキーを保護できます。暗号化されたボリュームまたは自己暗号化ディスクにアクセスする各クラスターで、オンボードキーマネージャーを有効にしてください。

タスク概要

クラスターにノードを追加するたびに、 `security key-manager setup`コマンドを実行する必要があります。

MetroCluster構成を使用する場合は、次のガイドラインを確認してください。

  • ONTAP 9.5 では、ローカルクラスタで `security key-manager setup`を実行し、リモートクラスタで `security key-manager setup -sync-metrocluster-config yes`を実行する必要があります。それぞれ同じパスフレーズを使用します。

  • ONTAP 9.5より前では、ローカルクラスタで `security key-manager setup`を実行し、約20秒待ってから、リモートクラスタで `security key-manager setup`を実行し、それぞれで同じパスフレーズを使用する必要があります。

デフォルトでは、ノードの再起動時にキーマネージャのパスフレーズを入力する必要はありません。ONTAP 9.4以降では、 `-enable-cc-mode yes`オプションを使用して、再起動後にユーザーにパスフレーズの入力を要求できます。

NVE の場合、 `-enable-cc-mode yes`を設定すると、 `volume create`コマンドと `volume move start`コマンドで作成したボリュームは自動的に暗号化されます。 `volume create`の場合、 `-encrypt true`を指定する必要はありません。 `volume move start`の場合、 `-encrypt-destination true`を指定する必要はありません。

メモ パスフレーズの試行が失敗した場合は、ノードを再起動する必要があります。
開始する前に

  • NSE を外部キー管理(KMIP)サーバーで使用している場合は、外部キー マネージャー データベースを削除します。

    "外部キー管理からオンボード キー管理への移行"

  • このタスクを実行するには、クラスタ管理者である必要があります。

  • オンボード キー マネージャーを構成する前に、MetroCluster環境を構成します。

手順

  1. キー管理ツールのセットアップを開始します。

    security key-manager setup -enable-cc-mode yes|no

    メモ ONTAP 9.4以降では、 `-enable-cc-mode yes`オプションを使用して、再起動後にユーザーにキーマネージャのパスフレーズの入力を要求できます。NVEの場合、 `-enable-cc-mode yes`を設定すると、 `volume create`コマンドと `volume move start`コマンドで作成したボリュームは自動的に暗号化されます。

    次の例は、リブートのたびにパスフレーズの入力を求めずに、cluster1でキー管理ツールのセットアップを開始します。

    cluster1::> security key-manager setup
Welcome to the key manager setup wizard, which will lead you through
the steps to add boot information.

...

Would you like to use onboard key-management? {yes, no} [yes]:
Enter the cluster-wide passphrase:    <32..256 ASCII characters long text>
Reenter the cluster-wide passphrase:    <32..256 ASCII characters long text>

  2. プロンプトで `yes`を入力して、オンボード キー管理を設定します。

  3. パスフレーズプロンプトで、32文字から256文字までのパスフレーズを入力します。または、「cc-mode」の場合は64文字から256文字までのパスフレーズを入力します。

    メモ 指定された「cc-mode」パスフレーズが64文字未満の場合、キー マネージャーのセットアップ操作でパスフレーズ プロンプトが再度表示されるまでに5秒の遅延が発生します。

  4. パスフレーズの確認のプロンプトでパスフレーズをもう一度入力します。

  5. すべてのノードにキーが設定されていることを確認します。

    security key-manager show-key-store

    `security key-manager show-key-store`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli-9161/security-key-manager-show-key-store.html["ONTAPコマンド リファレンス"^]をご覧ください。
    cluster1::> security key-manager show-key-store

Node: node1
Key Store: onboard
Key ID                                                           Used By
---------------------------------------------------------------- --------
<id_value> NSE-AK
<id_value> NSE-AK

Node: node2
Key Store: onboard
Key ID                                                           Used By
---------------------------------------------------------------- --------
<id_value> NSE-AK
<id_value> NSE-AK
終了後の操作

ONTAPは、キー管理情報をクラスタの複製データベース(RDB)に自動的にバックアップします。

オンボードキーマネージャのパスフレーズを設定したら、その情報をストレージシステム外の安全な場所に手動でバックアップしてください。"オンボード キー管理情報の手動バックアップ"を参照してください。

関連情報