Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP System Managerで外部キーマネージャを管理する

共同作成者 netapp-aherbin netapp-thomi netapp-bhouser netapp-ahibbard
PDF

ONTAP 9.7以降では、オンボード キー マネージャを使用して認証キーと暗号化キーを保存、管理できます。ONTAP 9.13.1以降では、外部キー管理ツールを使用してこれらのキーを保存、管理することもできます。

オンボード キー マネージャを使用する場合、キーはクラスタ内部のセキュアなデータベースで格納、管理されます。スコープはクラスタです。外部キー管理ツールを使用する場合、キーはクラスタの外部で格納、管理されます。スコープは、クラスタでもStorage VMでもあり得ます。1つ以上の外部キー管理ツールを使用できます。次の条件が適用されます。

  • オンボード キー マネージャが有効になっている場合、外部キー管理ツールをクラスタ レベルで有効にすることはできませんが、Storage VMレベルで有効にすることはできます。

  • 外部キー管理ツールがクラスタ レベルで有効になっている場合、オンボード キー マネージャを有効にすることはできません。

外部キー管理ツールを使用する場合、Storage VMとクラスタごとに最大4つのプライマリ キー サーバを登録できます。各プライマリ キー サーバには、最大3台のセカンダリ キー サーバを追加してクラスタ化できます。

外部キー管理ツールの設定

ストレージVMに外部キーマネージャーを追加するには、ストレージVMのネットワークインターフェースを構成する際に、オプションのゲートウェイを追加する必要があります。ストレージVMがネットワークルートなしで作成された場合は、外部キーマネージャー用のルートを明示的に作成する必要があります。"LIF(ネットワーク インターフェイス)の作成"を参照してください。

手順

外部キー管理ツールの設定は、System Manager内の複数のメニューから開始できます。

  1. 次のいずれかのオプションを使用して、外部キー管理の設定を開始します。

    ワークフロー

    ナビゲーション

    開始ステップ

    Key Managerを設定する

    クラスター > 設定

    *セキュリティ*セクションまでスクロールします。*暗号化*でアクションアイコンを選択します。*外部キーマネージャー*を選択します。

    ローカル階層を追加

    ストレージ > 階層

    *+ ローカル層の追加*を選択します。「キーマネージャーの設定」チェックボックスをオンにします。*外部キーマネージャー*を選択します。

    ストレージを準備

    ダッシュボード

    *容量*セクションで*ストレージの準備*を選択します。次に、「キーマネージャーの設定」を選択します。*外部キーマネージャー*を選択します。

    暗号化を設定する(ストレージ VM スコープのキー マネージャのみ)

    ストレージ > Storage VM

    ストレージVMを選択します。*設定*タブを選択します。*セキュリティ*の*暗号化*セクションで、アクションアイコンを選択します。

  2. プライマリ キー サーバーを追加するには、アイコンを追加を選択し、IP Address or Host Name および Port フィールドに入力します。

  3. 既にインストールされている証明書は、「KMIP サーバー CA 証明書」および「KMIP クライアント証明書」フィールドに表示されます。以下のいずれかの操作を実行できます:

    • ドロップダウンアイコンを選択して、キー マネージャーにマップするインストール済みの証明書を選択します。(複数のサービス CA 証明書を選択できますが、クライアント証明書は 1 つだけ選択できます。)

    • まだインストールされていない証明書を追加し、外部キー マネージャーにマップするには、*新しい証明書の追加*を選択します。

    • 外部キー マネージャーにマップしないインストール済みの証明書を削除するには、証明書名の横にある閉じるアイコンを選択します。

  4. セカンダリ キー サーバーを追加するには、*セカンダリ キー サーバー*列で*追加*を選択し、詳細を入力します。

  5. *保存*を選択して設定を完了します。

既存の外部キー管理ツールの編集

すでに外部キー管理ツールの設定が完了している場合は、その設定を変更できます。

手順

  1. 外部キー管理ツールの設定を編集するには、次のいずれかの手順を実行します。

    Scope

    ナビゲーション

    開始ステップ

    クラスタ スコープの外部キー マネージャ

    クラスター > 設定

    *セキュリティ*セクションまでスクロールします。*暗号化*でメニューオプションアイコンを選択し、*外部キーマネージャーの編集*を選択します。

    Storage VMスコープ外部キー マネージャ

    ストレージ > Storage VM

    ストレージVMを選択します。*設定*タブを選択します。*セキュリティ*の*暗号化*セクションで、メニューオプションアイコンを選択し、*外部キーマネージャーの編集*を選択します。

  2. 既存の鍵サーバーは*鍵サーバー*テーブルにリストされます。以下の操作を実行できます:

    • アイコンを追加を選択して新しいキー サーバーを追加します。

    • キーサーバーを削除するには、キーサーバー名を含むテーブルセルの末尾にあるメニューオプションアイコンを選択します。そのプライマリキーサーバーに関連付けられているセカンダリキーサーバーも設定から削除されます。

外部キー管理ツールの削除

ボリュームが暗号化されていない場合は、外部キー管理ツールを削除できます。

手順

  1. 次のいずれかの手順を実行して、外部キー管理を削除します。

    Scope

    ナビゲーション

    開始ステップ

    クラスタ スコープの外部キー マネージャ

    クラスター > 設定

    *Security*セクションまでスクロールします。*Encryption*でメニューオプションアイコンを選択し、*Delete External Key Manager*を選択します。

    Storage VMスコープ外部キー マネージャ

    ストレージ > Storage VM

    ストレージVMを選択します。*設定*タブを選択します。*セキュリティ*の*暗号化*セクションで、メニューオプションアイコンを選択し、*外部キーマネージャーの削除*を選択します。

キー管理ツール間のキーの移行

クラスタで複数のキー管理ツールが有効になっている場合、1つのキー管理ツールから別のキー管理ツールにキーを移行する必要があります。このプロセスは、System Managerで自動的に実行されます。

  • オンボード キー マネージャまたは外部キー管理ツールがクラスタ レベルで有効になっていて、一部のボリュームが暗号化されている場合、Storage VMレベルで外部キー管理ツールを設定する際には、クラスタ レベルのオンボード キー マネージャまたは外部キー管理ツールからStorage VMレベルの外部キー管理ツールにキーを移行する必要があります。このプロセスは、System Managerで自動的に実行されます。

  • 暗号化せずにStorage VMにボリュームを作成した場合、キーを移行する必要はありません。