Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP 9 .6以降でオンボードキー管理を有効にする

共同作成者 netapp-aaron-holt netapp-barbe netapp-ahibbard netapp-dbagwell netapp-aoife netapp-thomi netapp-aherbin
PDF

オンボードキーマネージャを使用して、クラスタノードをFIPSドライブまたはSEDに対して認証できます。オンボードキーマネージャは組み込みのツールで、データと同じストレージシステムからノードに認証キーを提供します。オンボードキーマネージャはFIPS-140-2レベル1に準拠しています。

オンボードキーマネージャを使用して、暗号化されたデータにアクセスするためにクラスタで使用するキーを安全に保管できます。オンボードキーマネージャは、暗号化されたボリュームまたは自己暗号化ディスクにアクセスする各クラスタで有効にする必要があります。

タスクの内容

このコマンドは、クラスタにノードを追加するたびに実行する必要があり security key-manager onboard enable`ます。MetroCluster構成では、同じパスフレーズを使用してまずローカルクラスタでを実行し、次にリモートクラスタでを実行する `security key-manager onboard sync`必要があります `security key-manager onboard enable

詳細はこちら `security key-manager onboard enable`そして `security key-manager onboard sync`の中で"ONTAPコマンド リファレンス"

デフォルトでは、ノードのリブート時にキー管理ツールのパスフレーズを入力する必要はありません。MetroClusterの場合を除き、オプションを使用すると、リブート後にユーザにパスフレーズの入力を求めることができます cc-mode-enabled=yes

メモ

オンボードキーマネージャがCCモードで有効になっ(`cc-mode-enabled=yes`ている場合)、システムの動作が次のように変更されます。

  • システムは、情報セキュリティ国際評価基準モードで動作しているときに、クラスタパスフレーズの連続した失敗を監視します。

    NetAppストレージ暗号化(NSE)が有効になっている場合にブート時に正しいクラスタパスフレーズを入力しないと、システムはドライブを認証できず、自動的にリブートします。これを修正するには、ブートプロンプトで正しいクラスタパスフレーズを入力する必要があります。ブート後、クラスタパスフレーズをパラメータとして必要とするコマンドについては、24時間以内に最大5回連続してクラスタパスフレーズを正しく入力できます。制限に達した場合(クラスタパスフレーズを5回連続で正しく入力しなかった場合など)は、24時間のタイムアウト時間が経過するまで待つか、ノードをリブートして制限をリセットする必要があります。

  • システムイメージの更新では、通常のNetApp RSA-2048コード署名証明書とSHA-256コード署名ダイジェストの代わりに、NetApp RSA-3072コード署名証明書とSHA-384コード署名ダイジェストを使用してイメージの整合性をチェックします。

    アップグレード コマンドは、さまざまなデジタル署名をチェックして、イメージの内容が変更されていないか、または破損していないかを確認します。検証が成功すると、イメージの更新は次のステップに進みます。検証が機能しない場合、イメージの更新は失敗します。詳細はこちら `cluster image`の中で"ONTAPコマンド リファレンス"
メモ オンボードキーマネージャは、キーを揮発性メモリに格納します。揮発性メモリの内容は、システムを再起動または停止するとクリアされます。通常の動作状態では、システムが停止すると、揮発性メモリの内容は30秒以内に消去されます。
開始する前に

  • NSEで外部キー管理(KMIP)サーバを使用する場合は、外部キー管理ツールのデータベースを削除しておく必要があります。

    "外部キー管理からオンボードキー管理への移行"

  • このタスクを実行するには、クラスタ管理者である必要があります。

  • オンボードキーマネージャを設定する前に、MetroCluster環境を設定する必要があります。

手順

  1. キー管理ツールのsetupコマンドを開始します。

    security key-manager onboard enable -cc-mode-enabled yes|no

    メモ リブート後にユーザにキー管理ツールのパスフレーズの入力を求めるように設定し `cc-mode-enabled=yes`ます。この `- cc-mode-enabled`オプションはMetroCluster構成ではサポートされません。 `security key-manager onboard enable`コマンドは、コマンドに置き換わるもの `security key-manager setup`です。

    次の例は、リブートのたびにパスフレーズの入力を要求せずに、cluster1でkey manager setupコマンドを開始します。

  2. 32 〜 256 文字のパスフレーズを入力します。「cc-mode」の場合は 64 〜 256 文字のパスフレーズを入力します。

    メモ 指定された "cc-mode" パスフレーズが 64 文字未満の場合、キー管理ツールのセットアップ操作によってパスフレーズのプロンプトが再表示されるまでに 5 秒の遅延が発生します。

  3. パスフレーズの確認のプロンプトでパスフレーズをもう一度入力します。

  4. システムが認証キーを作成したことを確認します。

    security key-manager key query -node node

    メモ `security key-manager key query`コマンドは、コマンドに置き換わるもの `security key-manager query key`です。

    の詳細については security key-manager key query、を"ONTAPコマンド リファレンス"参照してください。

終了後

あとで使用できるように、ストレージシステムの外部の安全な場所にパスフレーズをコピーします。

システムは、キー管理情報をクラスターの複製データベース (RDB) に自動的にバックアップします。災害復旧のためにこの情報も手動でバックアップする必要があります。

関連情報