Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP 9.5以前でNVEのオンボードキー管理を有効にする

共同作成者 netapp-aoife netapp-aaron-holt netapp-barbe netapp-bhouser netapp-dbagwell netapp-ahibbard netapp-thomi netapp-aherbin
PDF

オンボードキーマネージャを使用して、暗号化されたデータにアクセスするためにクラスタで使用するキーを安全に保管できます。オンボードキーマネージャは、暗号化されたボリュームまたは自己暗号化ディスクにアクセスする各クラスタで有効にする必要があります。

タスクの内容

このコマンドは、クラスタにノードを追加するたびに実行する必要があり `security key-manager setup`ます。

MetroCluster構成の場合は、次のガイドラインを確認してください。

  • ONTAP 9 .5では、同じパスフレーズを使用してローカルクラスタと security key-manager setup -sync-metrocluster-config yes`リモートクラスタでを実行する必要があります `security key-manager setup

  • ONTAP 9を実行する前に、同じパスフレーズを使用してローカルクラスタでを実行し、20秒ほど待ってからリモートクラスタでを実行する security key-manager setup`必要があります `security key-manager setup

デフォルトでは、ノードのリブート時にキー管理ツールのパスフレーズを入力する必要はありません。ONTAP 9 .4以降では、オプションを使用して、リブート後にユーザにパスフレーズの入力を求めることができ `-enable-cc-mode yes`ます。

NVEでは、を設定する -enable-cc-mode yes`と、コマンドと `volume move start`コマンドで作成したボリューム `volume create`が自動的に暗号化されます。で `volume create`は、を指定する必要はありません `-encrypt true。で volume move start`は、を指定する必要はありません `-encrypt-destination true

メモ パスフレーズの入力に失敗した場合は、ノードを再起動する必要があります。
開始する前に

  • NSE または NVE を外部キー管理 (KMIP) サーバーと共に使用している場合は、外部キー マネージャー データベースを削除します。

    "外部キー管理からオンボードキー管理への移行"

  • このタスクを実行するには、クラスタ管理者である必要があります。

  • オンボード キー マネージャを構成する前に、 MetroCluster環境を構成します。

手順

  1. キー管理ツールのセットアップを開始します。

    security key-manager setup -enable-cc-mode yes|no

    メモ

    ONTAP 9 .4以降では、オプションを使用して、リブート後にユーザにキー管理ツールのパスフレーズの入力を求めることができます -enable-cc-mode yes。NVEでは、を設定する `-enable-cc-mode yes`と、コマンドと `volume move start`コマンドで作成したボリューム `volume create`が自動的に暗号化されます。

    次の例では、リブートのたびにパスフレーズの入力を要求せずに、cluster1でキー管理ツールのセットアップを開始します。

    cluster1::> security key-manager setup
Welcome to the key manager setup wizard, which will lead you through
the steps to add boot information.

...

Would you like to use onboard key-management? {yes, no} [yes]:
Enter the cluster-wide passphrase:    <32..256 ASCII characters long text>
Reenter the cluster-wide passphrase:    <32..256 ASCII characters long text>

  2. オンボードキー管理を設定するかどうかを確認するプロンプトでと入力し `yes`ます。

  3. パスフレーズのプロンプトで 32 ~ 256 文字のパスフレーズを入力します。または、 64 ~ 256 文字のパスフレーズを「 cc-mode] 」に入力します。

    メモ

    指定された "cc-mode" パスフレーズが 64 文字未満の場合、キー管理ツールのセットアップ操作によってパスフレーズのプロンプトが再表示されるまでに 5 秒の遅延が発生します。

  4. パスフレーズの確認のプロンプトでパスフレーズをもう一度入力します。

  5. すべてのノードにキーが設定されていることを確認します。

    security key-manager show-key-store

    cluster1::> security key-manager show-key-store

Node: node1
Key Store: onboard
Key ID                                                           Used By
---------------------------------------------------------------- --------
<id_value> NSE-AK
<id_value> NSE-AK

Node: node2
Key Store: onboard
Key ID                                                           Used By
---------------------------------------------------------------- --------
<id_value> NSE-AK
<id_value> NSE-AK

    詳細はこちら `security key-manager show-key-store`の中で"ONTAPコマンド リファレンス"

  6. 必要に応じて、プレーンテキストボリュームを暗号化ボリュームに変換します。

    volume encryption conversion start

    ボリュームを変換する前に、オンボード キー マネージャーを構成します。 MetroCluster環境では、両方のサイトで構成します。

終了後

あとで使用できるように、ストレージシステムの外部の安全な場所にパスフレーズをコピーします。

オンボード キー マネージャーのパスフレーズを構成するときは、災害に備えて、ストレージ システム外部の安全な場所に情報をバックアップしてください。見る"オンボードキー管理情報の手動でのバックアップ"

関連情報