ONTAP 9.6 以降ではオンボードキー管理を有効にしてください
-
このドキュメント ページのPDF
-
ボリューム管理
- CLI を使用した論理ストレージ管理
-
NAS ストレージ管理
-
CLIを使用したSMBの管理
- SMB を使用したファイルアクセスの管理
-
CLIを使用したSMBの管理
- セキュリティとデータ暗号化
-
ボリューム管理
PDF版ドキュメントのセット
Creating your file...
オンボードキーマネージャを使用して、クラスタノードを FIPS ドライブまたは SED に対して認証できます。オンボードキーマネージャは組み込みのツールで、データと同じストレージシステムからノードに認証キーを提供します。オンボードキーマネージャは FIPS-140-2 レベル 1 に準拠しています。
オンボードキーマネージャを使用して、暗号化されたデータにアクセスする際にクラスタで使用するキーを安全に保管できます。オンボードキーマネージャは、暗号化されたボリュームや自己暗号化ディスクにアクセスする各クラスタで有効にする必要があります。
を実行する必要があります security key-manager onboard enable
コマンドはクラスタにノードを追加するたびに実行します。MetroCluster 構成では、を実行する必要があります security key-manager onboard enable
を実行してから、を実行します security key-manager onboard sync
リモートクラスタで、それぞれで同じパスフレーズを使用します。
デフォルトでは、ノードのリブート時にキー管理ツールのパスフレーズを入力する必要はありません。MetroCluster 以外では、を使用できます cc-mode-enabled=yes
リブート後にユーザにパスフレーズの入力を求めるオプション。
オンボードキーマネージャがCCモードで有効になっている場合 (
|
オンボードキーマネージャは、揮発性メモリにキーを格納します。揮発性メモリの内容は、システムのリブート時または停止時にクリアされます。通常の動作条件下では、システムが停止すると 30 秒以内に揮発性メモリの内容がクリアされます。 |
-
NSE で外部キー管理( KMIP )サーバを使用している場合は、外部キー管理ツールのデータベースを削除しておく必要があります。
-
このタスクを実行するには、クラスタ管理者である必要があります。
-
オンボードキーマネージャを設定する前に、 MetroCluster 環境を設定する必要があります。
-
キー管理ツールの setup コマンドを開始します。
security key-manager onboard enable -cc-mode-enabled yes|no
設定 cc-mode-enabled=yes
リブート後にユーザにキー管理ツールのパスフレーズの入力を求める場合。。- cc-mode-enabled
オプションはMetroCluster 構成ではサポートされません。 。security key-manager onboard enable
コマンドは、に置き換わるものですsecurity key-manager setup
コマンドを実行します次の例では、リブートのたびにパスフレーズの入力を求めずに、 cluster1 でキー管理ツールの setup コマンドを開始します。
cluster1::> security key-manager onboard enable Enter the cluster-wide passphrase for onboard key management in Vserver "cluster1":: <32..256 ASCII characters long text> Reenter the cluster-wide passphrase: <32..256 ASCII characters long text>
-
パスフレーズのプロンプトで 32 ~ 256 文字のパスフレーズを入力します。または、 64 ~ 256 文字のパスフレーズを「 cc-mode] 」に入力します。
指定された "cc-mode" パスフレーズが 64 文字未満の場合、キー管理ツールのセットアップ操作によってパスフレーズのプロンプトが再表示されるまでに 5 秒の遅延が発生します。 -
パスフレーズの確認のプロンプトでパスフレーズをもう一度入力します。
-
認証キーが作成されたことを確認します。
security key-manager key query -node node
。 security key-manager key query
コマンドは、に置き換わるものですsecurity key-manager query key
コマンドを実行しますコマンド構文全体については、マニュアルページを参照してください。次の例は、の認証キーが作成されたことを確認します
cluster1
:cluster1::> security key-manager key query Vserver: cluster1 Key Manager: onboard Node: node1 Key Tag Key Type Restored ------------------------------------ -------- -------- node1 NSE-AK yes Key ID: 000000000000000002000000000001000c11b3863f78c2273343d7ec5a67762e0000000000000000 node1 NSE-AK yes Key ID: 000000000000000002000000000001006f4e2513353a674305872a4c9f3bf7970000000000000000 Vserver: cluster1 Key Manager: onboard Node: node2 Key Tag Key Type Restored ------------------------------------ -------- -------- node1 NSE-AK yes Key ID: 000000000000000002000000000001000c11b3863f78c2273343d7ec5a67762e0000000000000000 node2 NSE-AK yes Key ID: 000000000000000002000000000001006f4e2513353a674305872a4c9f3bf7970000000000000000
あとで使用できるように、ストレージシステムの外部の安全な場所にパスフレーズをコピーしておきます。
キー管理情報は、クラスタの Replicated Database ( RDB ;複製データベース)にすべて自動的にバックアップされます。災害時に備えて、情報を手動でもバックアップしておく必要があります。