Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

オンボード キー管理の有効化(ONTAP 9.6以降)

共同作成者 netapp-aaron-holt netapp-barbe netapp-ahibbard netapp-dbagwell netapp-aoife netapp-thomi netapp-aherbin
PDF

オンボード キー マネージャを使用して、クラスタ ノードをFIPSドライブまたはSEDに対して認証できます。オンボード キー マネージャは組み込みのツールで、データと同じストレージ システムからノードに認証キーを提供します。オンボード キー マネージャはFIPS-140-2レベル1に準拠しています。

オンボード キー マネージャを使用して、暗号化されたデータにアクセスする際にクラスタで使用するキーを安全に保管できます。オンボード キー マネージャは、暗号化されたボリュームや自己暗号化ディスクにアクセスする各クラスタで有効にする必要があります。

タスク概要

クラスタにノードを追加するたびに、 `security key-manager onboard enable`コマンドを実行する必要があります。MetroCluster構成では、最初にローカルクラスタで `security key-manager onboard enable`を実行し、次にリモートクラスタで `security key-manager onboard sync`を実行する必要があります。その際、各クラスタで同じパスフレーズを使用してください。

`security key-manager onboard enable`および `security key-manager onboard sync`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli//security-key-manager-onboard-enable.html["ONTAPコマンド リファレンス"^]をご覧ください。

デフォルトでは、ノードの再起動時にキーマネージャのパスフレーズを入力する必要はありません。MetroClusterを除き、 `cc-mode-enabled=yes`オプションを使用して、再起動後にユーザーにパスフレーズの入力を求めることができます。

メモ

オンボード キー マネージャーが Common Criteria モード(`cc-mode-enabled=yes`で有効になっている場合、システムの動作は次のように変更されます:

  • Common Criteriaモードでは、クラスタ パスフレーズの連続入力エラーが監視されます。

    NetApp Storage Encryption(NSE)が有効な場合、ブート時にクラスタの正しいパスフレーズを入力しないと、システムはドライブに対して認証できず、自動的にリブートします。この問題を解決するには、ブート プロンプトで正しいクラスタ パスフレーズを入力する必要があります。ブート後は、クラスタ パスフレーズを求められるコマンドを実行するたびに、クラスタ パスフレーズを24時間以内に5回まで試行することができます。制限に達した場合(例:クラスタ パスフレーズを5回連続で間違えた場合)、24時間のタイムアウト時間が過ぎるのを待つか、またはノードをリブートして制限をリセットする必要があります。

  • システム イメージの更新では、通常のNetAppのRSA-2048コード署名証明書とSHA-256のコード署名ダイジェストではなく、NetAppのRSA-3072コード署名証明書とSHA-384のコード署名ダイジェストを使用してイメージの整合性がチェックされます。

    アップグレードコマンドは、様々なデジタル署名をチェックすることで、イメージの内容が改ざんまたは破損していないことを確認します。検証が成功した場合、イメージの更新は次のステップに進みます。検証が失敗した場合、イメージの更新は失敗します。 `cluster image`の詳細については、"ONTAPコマンド リファレンス"をご覧ください。
メモ オンボード キー マネージャは揮発性メモリにキーを格納します。揮発性メモリの内容はシステムのリブート時または停止時にクリアされます。通常の動作状態では、揮発性メモリの内容はシステムが停止してから30秒以内にクリアされます。
開始する前に

  • NSEで外部キー管理(KMIP)サーバを使用している場合は、外部キー管理ツールのデータベースを削除しておく必要があります。

    "外部キー管理からオンボード キー管理への移行"

  • このタスクを実行するには、クラスタ管理者である必要があります。

  • オンボード キー マネージャを設定する前に、MetroCluster環境を設定する必要があります。

手順

  1. キー管理ツール セットアップ コマンドを開始します。

    security key-manager onboard enable -cc-mode-enabled yes|no

    メモ 再起動後にユーザーがキー管理者のパスフレーズを入力する必要があるように `cc-mode-enabled=yes`を設定します。MetroCluster構成では `- cc-mode-enabled`オプションはサポートされていません。 `security key-manager onboard enable`コマンドは `security key-manager setup`コマンドの代わりとなります。

    次の例は、リブートのたびにパスフレーズの入力を求めずに、cluster1でキー管理ツール セットアップ コマンドを開始します。

  2. 32文字から256文字までのパスフレーズを入力します。"`cc-mode`"の場合は64文字から256文字までのパスフレーズを入力します。

    メモ 指定された「cc-mode」パスフレーズが64文字未満の場合、キー マネージャーのセットアップ操作でパスフレーズ プロンプトが再度表示されるまでに5秒の遅延が発生します。

  3. パスフレーズの確認のプロンプトでパスフレーズをもう一度入力します。

  4. システムが認証キーを作成したことを確認します:

    security key-manager key query -node node

    メモ `security key-manager key query`コマンドは `security key-manager query key`コマンドに置き換わります。 
    `security key-manager key query`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/security-key-manager-key-query.html["ONTAPコマンド リファレンス"^]をご覧ください。
終了後の操作

あとで使用できるように、ストレージ システムの外部の安全な場所にパスフレーズをコピーしておきます。

システムは、クラスターの複製データベース(RDB)にキー管理情報を自動的にバックアップします。災害復旧に備えて、この情報を手動でバックアップすることも必要です。

関連情報