日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP 9.5 以前でオンボードキー管理を有効にする( NVE )

寄稿者 netapp-thomi

オンボードキーマネージャを使用して、暗号化されたデータにアクセスする際にクラスタで使用するキーを安全に保管できます。オンボードキーマネージャは、暗号化されたボリュームや自己暗号化ディスクにアクセスする各クラスタで有効にする必要があります。

必要なもの
  • NSE で外部キー管理( KMIP )サーバを使用している場合は、外部キー管理ツールのデータベースを削除しておく必要があります。

  • このタスクを実行するには、クラスタ管理者である必要があります。

  • オンボードキーマネージャを設定する前に、 MetroCluster 環境を設定する必要があります。

クラスタにノードを追加するたびに 'securitykey-manager setup コマンドを実行する必要があります

MetroCluster 構成を使用する場合は、次のガイドラインを確認してください。

  • ONTAP 9.5 では、ローカルクラスタで「 securitykey-manager setup 」を実行し、リモートクラスタで「 securitykey-manager setup -sync-metrocluster-config yes 」を実行する必要があります。その際に、それぞれで同じパスフレーズを使用します。

  • ONTAP 9.5 よりも前のバージョンでは、ローカルクラスタで「 securitykey-manager setup 」を実行し、約 20 秒待ってから、リモートクラスタで「 securitykey-manager setup 」を実行し、それぞれで同じパスフレーズを使用する必要があります。

デフォルトでは、ノードのリブート時にキー管理ツールのパスフレーズを入力する必要はありません。ONTAP 9.4 以降では '-enable-cc-mode yes オプションを使用して ' 再起動後にユーザーにパスフレーズの入力を要求できます

NVE の場合 '-enable-cc-mode yes を設定すると 'volume create コマンドと volume move start コマンドで作成したボリュームは自動的に暗号化されます’volume create' の場合 '-encrypt true' を指定する必要はありません’volume move start' には '-encrypt-destination true' を指定する必要はありません

注記

パスフレーズの試行に失敗した場合は、ノードを再起動する必要があります。

手順
  1. キー管理ツールのセットアップを開始します。

    「 securitykey manager setup-enable-cc-mode yes | no

    注記

    ONTAP 9.4 以降では '-enable-cc-mode yes オプションを使用して ' 再起動後にユーザにキー・マネージャのパスフレーズの入力を要求できますNVE の場合 '-enable-cc-mode yes を設定すると 'volume create コマンドと volume move start コマンドで作成したボリュームは自動的に暗号化されます

    次の例では、リブートのたびにパスフレーズの入力を求めずに、 cluster1 でキー管理ツールをセットアップします。

    cluster1::> security key-manager setup
    Welcome to the key manager setup wizard, which will lead you through
    the steps to add boot information.
    
    ...
    
    Would you like to use onboard key-management? {yes, no} [yes]:
    Enter the cluster-wide passphrase:    <32..256 ASCII characters long text>
    Reenter the cluster-wide passphrase:    <32..256 ASCII characters long text>
  2. プロンプトで「 yes 」と入力して、オンボードキー管理を設定します。

  3. パスフレーズのプロンプトで 32 ~ 256 文字のパスフレーズを入力します。または、 64 ~ 256 文字のパスフレーズを「 cc-mode] 」に入力します。

    注記

    指定された "cc-mode" パスフレーズが 64 文字未満の場合、キー管理ツールのセットアップ操作によってパスフレーズのプロンプトが再表示されるまでに 5 秒の遅延が発生します。

  4. パスフレーズの確認のプロンプトでパスフレーズをもう一度入力します。

  5. キーがすべてのノードに設定されていることを確認します。

    「 securitykey -manager key show 」を参照してください

    コマンド構文全体については、マニュアルページを参照してください。

    cluster1::> security key-manager key show
    
    Node: node1
    Key Store: onboard
    Key ID                                                           Used By
    ---------------------------------------------------------------- --------
    0000000000000000020000000000010059851742AF2703FC91369B7DB47C4722 NSE-AK
    000000000000000002000000000001008C07CC0AF1EF49E0105300EFC83004BF NSE-AK
    
    Node: node2
    Key Store: onboard
    Key ID                                                           Used By
    ---------------------------------------------------------------- --------
    0000000000000000020000000000010059851742AF2703FC91369B7DB47C4722 NSE-AK
    000000000000000002000000000001008C07CC0AF1EF49E0105300EFC83004BF NSE-AK

あとで使用できるように、ストレージシステムの外部の安全な場所にパスフレーズをコピーしておきます。

キー管理情報は、クラスタの Replicated Database ( RDB ;複製データベース)にすべて自動的にバックアップされます。

オンボードキーマネージャのパスフレーズを設定するときは、災害時に備えて、ストレージシステムの外部の安全な場所にも手動で情報をバックアップしておく必要があります。を参照してください "オンボードキー管理情報を手動でバックアップ"