Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP 9.5 以前でオンボードキー管理を有効にする( NVE )

共同作成者
PDF

オンボードキーマネージャを使用して、暗号化されたデータにアクセスする際にクラスタで使用するキーを安全に保管できます。オンボードキーマネージャは、暗号化されたボリュームや自己暗号化ディスクにアクセスする各クラスタで有効にする必要があります。

このタスクについて

を実行する必要があります security key-manager setup コマンドはクラスタにノードを追加するたびに実行します。

MetroCluster 構成を使用する場合は、次のガイドラインを確認してください。

  • ONTAP 9.5では、を実行する必要があります security key-manager setup ローカルクラスタおよび security key-manager setup -sync-metrocluster-config yes リモートクラスタで、それぞれで同じパスフレーズを使用します。

  • ONTAP 9.5より前のバージョンでは、を実行する必要があります security key-manager setup ローカルクラスタで、約20秒待ってからを実行します security key-manager setup リモートクラスタで、それぞれで同じパスフレーズを使用します。

デフォルトでは、ノードのリブート時にキー管理ツールのパスフレーズを入力する必要はありません。ONTAP 9.4以降では、 -enable-cc-mode yes リブート後にユーザにパスフレーズの入力を求めるオプション。

NVEの場合は、を設定します -enable-cc-mode yes`を使用して作成したボリューム `volume create および volume move start コマンドは自動的に暗号化されます。の場合 volume create`を指定する必要はありません `-encrypt true。の場合 volume move start`を指定する必要はありません `-encrypt-destination true

メモ パスフレーズの試行に失敗した場合は、ノードを再起動する必要があります。
作業を開始する前に

  • 外部キー管理(KMIP)サーバでNSEまたはNVEを使用している場合は、外部キー管理ツールのデータベースを削除しておく必要があります。

    "外部キー管理からオンボードキー管理への移行"

  • このタスクを実行するには、クラスタ管理者である必要があります。

  • オンボードキーマネージャを設定する前に、 MetroCluster 環境を設定する必要があります。

手順

  1. キー管理ツールのセットアップを開始します。

    security key-manager setup -enable-cc-mode yes|no

    メモ

    ONTAP 9.4以降では、 -enable-cc-mode yes リブート後にユーザにキー管理ツールのパスフレーズの入力を求めるオプション。NVEの場合は、を設定します -enable-cc-mode yes`を使用して作成したボリューム `volume create および volume move start コマンドは自動的に暗号化されます。

    次の例では、リブートのたびにパスフレーズの入力を求めずに、 cluster1 でキー管理ツールをセットアップします。

    cluster1::> security key-manager setup
Welcome to the key manager setup wizard, which will lead you through
the steps to add boot information.

...

Would you like to use onboard key-management? {yes, no} [yes]:
Enter the cluster-wide passphrase:    <32..256 ASCII characters long text>
Reenter the cluster-wide passphrase:    <32..256 ASCII characters long text>

  2. 入力するコマンド yes オンボードキー管理を設定するプロンプトが表示されます。

  3. パスフレーズのプロンプトで 32 ~ 256 文字のパスフレーズを入力します。または、 64 ~ 256 文字のパスフレーズを「 cc-mode] 」に入力します。

    メモ

    指定された "cc-mode" パスフレーズが 64 文字未満の場合、キー管理ツールのセットアップ操作によってパスフレーズのプロンプトが再表示されるまでに 5 秒の遅延が発生します。

  4. パスフレーズの確認のプロンプトでパスフレーズをもう一度入力します。

  5. キーがすべてのノードに設定されていることを確認します。

    security key-manager key show

    コマンド構文全体については、マニュアルページを参照してください。

    cluster1::> security key-manager key show

Node: node1
Key Store: onboard
Key ID                                                           Used By
---------------------------------------------------------------- --------
0000000000000000020000000000010059851742AF2703FC91369B7DB47C4722 NSE-AK
000000000000000002000000000001008C07CC0AF1EF49E0105300EFC83004BF NSE-AK

Node: node2
Key Store: onboard
Key ID                                                           Used By
---------------------------------------------------------------- --------
0000000000000000020000000000010059851742AF2703FC91369B7DB47C4722 NSE-AK
000000000000000002000000000001008C07CC0AF1EF49E0105300EFC83004BF NSE-AK

  6. 必要に応じて、プレーンテキストボリュームを暗号化ボリュームに変換します。

    volume encryption conversion start

    ボリュームを変換する前に、オンボードキーマネージャの設定が完了している必要があります。MetroCluster環境では、両方のサイトでオンボードキーマネージャを設定する必要があります。

完了後

あとで使用できるように、ストレージシステムの外部の安全な場所にパスフレーズをコピーしておきます。

オンボードキーマネージャのパスフレーズを設定するときは、災害時に備えて、ストレージシステムの外部の安全な場所にも手動で情報をバックアップしておく必要があります。を参照してください "オンボードキー管理情報を手動でバックアップ"