ONTAP 9 .5以前でオンボードキー管理を有効にする(NVE)
変更を提案
PDF
オンボードキーマネージャを使用して、暗号化されたデータにアクセスするためにクラスタで使用するキーを安全に保管できます。オンボードキーマネージャは、暗号化されたボリュームまたは自己暗号化ディスクにアクセスする各クラスタで有効にする必要があります。
このコマンドは、クラスタにノードを追加するたびに実行する必要があり `security key-manager setup`ます。
MetroCluster構成の場合は、次のガイドラインを確認してください。
-
ONTAP 9 .5では、同じパスフレーズを使用してローカルクラスタと
security key-manager setup -sync-metrocluster-config yes`リモートクラスタでを実行する必要があります `security key-manager setup。 -
ONTAP 9を実行する前に、同じパスフレーズを使用してローカルクラスタでを実行し、20秒ほど待ってからリモートクラスタでを実行する
security key-manager setup`必要があります `security key-manager setup。
デフォルトでは、ノードのリブート時にキー管理ツールのパスフレーズを入力する必要はありません。ONTAP 9 .4以降では、オプションを使用して、リブート後にユーザにパスフレーズの入力を求めることができ `-enable-cc-mode yes`ます。
NVEでは、を設定する -enable-cc-mode yes`と、コマンドと `volume move start`コマンドで作成したボリューム `volume create`が自動的に暗号化されます。で `volume create`は、を指定する必要はありません `-encrypt true。で volume move start`は、を指定する必要はありません `-encrypt-destination true。
|
パスフレーズの入力に失敗した場合は、ノードを再起動する必要があります。 |
-
外部キー管理(KMIP)サーバでNSEまたはNVEを使用している場合は、外部キー管理ツールのデータベースを削除しておく必要があります。
-
このタスクを実行するには、クラスタ管理者である必要があります。
-
オンボードキーマネージャを設定する前に、MetroCluster環境を設定する必要があります。
-
キー管理ツールのセットアップを開始します。
security key-manager setup -enable-cc-mode yes|no
ONTAP 9 .4以降では、オプションを使用して、リブート後にユーザにキー管理ツールのパスフレーズの入力を求めることができます
-enable-cc-mode yes。NVEでは、を設定する `-enable-cc-mode yes`と、コマンドと `volume move start`コマンドで作成したボリューム `volume create`が自動的に暗号化されます。次の例では、リブートのたびにパスフレーズの入力を要求せずに、cluster1でキー管理ツールのセットアップを開始します。
cluster1::> security key-manager setup Welcome to the key manager setup wizard, which will lead you through the steps to add boot information. ... Would you like to use onboard key-management? {yes, no} [yes]: Enter the cluster-wide passphrase: <32..256 ASCII characters long text> Reenter the cluster-wide passphrase: <32..256 ASCII characters long text> -
オンボードキー管理を設定するかどうかを確認するプロンプトでと入力し `yes`ます。
-
パスフレーズのプロンプトで 32 ~ 256 文字のパスフレーズを入力します。または、 64 ~ 256 文字のパスフレーズを「 cc-mode] 」に入力します。
指定された "cc-mode" パスフレーズが 64 文字未満の場合、キー管理ツールのセットアップ操作によってパスフレーズのプロンプトが再表示されるまでに 5 秒の遅延が発生します。
-
パスフレーズの確認のプロンプトでパスフレーズをもう一度入力します。
-
すべてのノードにキーが設定されていることを確認します。
security key-manager key show完全なコマンド構文については、マニュアルページを参照してください。
cluster1::> security key-manager key show Node: node1 Key Store: onboard Key ID Used By ---------------------------------------------------------------- -------- 0000000000000000020000000000010059851742AF2703FC91369B7DB47C4722 NSE-AK 000000000000000002000000000001008C07CC0AF1EF49E0105300EFC83004BF NSE-AK Node: node2 Key Store: onboard Key ID Used By ---------------------------------------------------------------- -------- 0000000000000000020000000000010059851742AF2703FC91369B7DB47C4722 NSE-AK 000000000000000002000000000001008C07CC0AF1EF49E0105300EFC83004BF NSE-AK
-
必要に応じて、プレーンテキストボリュームを暗号化ボリュームに変換します。
volume encryption conversion startボリュームを変換する前に、オンボードキーマネージャの設定が完了している必要があります。MetroCluster環境では、両方のサイトでオンボードキーマネージャを設定する必要があります。
あとで使用できるように、ストレージシステムの外部の安全な場所にパスフレーズをコピーします。
オンボードキーマネージャのパスフレーズを設定する場合は、災害時に備えて、ストレージシステムの外部の安全な場所に情報を手動でバックアップする必要があります。を参照して "オンボードキー管理情報の手動でのバックアップ"