Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP 9.5以前でNVEのオンボードキー管理を有効にする

共同作成者 netapp-aoife netapp-aaron-holt netapp-barbe netapp-bhouser netapp-dbagwell netapp-ahibbard netapp-thomi netapp-aherbin
PDF

オンボード キー マネージャを使用して、暗号化されたデータにアクセスする際にクラスタで使用するキーを安全に保管できます。オンボード キー マネージャは、暗号化されたボリュームや自己暗号化ディスクにアクセスする各クラスタで有効にする必要があります。

タスク概要

クラスターにノードを追加するたびに、 `security key-manager setup`コマンドを実行する必要があります。

MetroCluster構成を使用する場合は、次のガイドラインを確認してください。

  • ONTAP 9.5 では、ローカルクラスタで `security key-manager setup`を実行し、リモートクラスタで `security key-manager setup -sync-metrocluster-config yes`を実行する必要があります。それぞれ同じパスフレーズを使用します。

  • ONTAP 9.5より前では、ローカルクラスタで `security key-manager setup`を実行し、約20秒待ってから、リモートクラスタで `security key-manager setup`を実行し、それぞれで同じパスフレーズを使用する必要があります。

デフォルトでは、ノードの再起動時にキーマネージャのパスフレーズを入力する必要はありません。ONTAP 9.4以降では、 `-enable-cc-mode yes`オプションを使用して、再起動後にユーザーにパスフレーズの入力を要求できます。

NVE の場合、 `-enable-cc-mode yes`を設定すると、 `volume create`コマンドと `volume move start`コマンドで作成したボリュームは自動的に暗号化されます。 `volume create`の場合、 `-encrypt true`を指定する必要はありません。 `volume move start`の場合、 `-encrypt-destination true`を指定する必要はありません。

メモ パスフレーズの試行が失敗した場合は、ノードを再起動する必要があります。
開始する前に

  • NSE または NVE を外部キー管理(KMIP)サーバーと共に使用している場合は、外部キー マネージャー データベースを削除します。

    "外部キー管理からオンボード キー管理への移行"

  • このタスクを実行するには、クラスタ管理者である必要があります。

  • Onboard Key Managerを設定する前に、MetroCluster環境を設定します。

手順

  1. キー管理ツールのセットアップを開始します。

    security key-manager setup -enable-cc-mode yes|no

    メモ

    ONTAP 9.4以降では、 `-enable-cc-mode yes`オプションを使用して、再起動後にユーザーにキーマネージャのパスフレーズの入力を要求できます。NVEの場合、 `-enable-cc-mode yes`を設定すると、 `volume create`コマンドと `volume move start`コマンドで作成したボリュームは自動的に暗号化されます。

    次の例は、リブートのたびにパスフレーズの入力を求めずに、cluster1でキー管理ツールのセットアップを開始します。

    cluster1::> security key-manager setup
Welcome to the key manager setup wizard, which will lead you through
the steps to add boot information.

...

Would you like to use onboard key-management? {yes, no} [yes]:
Enter the cluster-wide passphrase:    <32..256 ASCII characters long text>
Reenter the cluster-wide passphrase:    <32..256 ASCII characters long text>

  2. プロンプトで `yes`を入力して、オンボード キー管理を設定します。

  3. パスフレーズプロンプトで、32文字から256文字までのパスフレーズを入力します。または、「cc-mode」の場合は64文字から256文字までのパスフレーズを入力します。

    メモ

    指定された「cc-mode」パスフレーズが64文字未満の場合、キー マネージャーのセットアップ操作でパスフレーズ プロンプトが再度表示されるまでに5秒の遅延が発生します。

  4. パスフレーズの確認のプロンプトでパスフレーズをもう一度入力します。

  5. すべてのノードにキーが設定されていることを確認します。

    security key-manager show-key-store

    cluster1::> security key-manager show-key-store

Node: node1
Key Store: onboard
Key ID                                                           Used By
---------------------------------------------------------------- --------
<id_value> NSE-AK
<id_value> NSE-AK

Node: node2
Key Store: onboard
Key ID                                                           Used By
---------------------------------------------------------------- --------
<id_value> NSE-AK
<id_value> NSE-AK
    `security key-manager show-key-store`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli-9161/security-key-manager-show-key-store.html["ONTAPコマンド リファレンス"^]をご覧ください。

  6. 必要に応じて、プレーン テキスト ボリュームを暗号化されたボリュームに変換します。

    volume encryption conversion start

    ボリュームを変換する前に、オンボードキーマネージャーを設定してください。MetroCluster環境では、両方のサイトで設定してください。

終了後の操作

あとで使用できるように、ストレージ システムの外部の安全な場所にパスフレーズをコピーしておきます。

オンボードキーマネージャのパスフレーズを設定する際は、災害発生時に備えて、ストレージシステム外部の安全な場所に情報をバックアップしてください。"オンボード キー管理情報の手動バックアップ"を参照してください。

関連情報