Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

System Managerを使用して外部キー管理ツールを管理します。

共同作成者
PDF

ONTAP 9.7以降では、オンボードキーマネージャを使用して認証キーと暗号化キーを格納および管理できます。ONTAP 9.13.1以降では、外部キー管理ツールを使用してこれらのキーを格納および管理することもできます。

オンボードキーマネージャは、クラスタ内のセキュアなデータベースにキーを格納および管理します。スコープはクラスタです。外部キー管理ツールは、クラスタの外部にキーを格納および管理します。スコープには、クラスタまたはStorage VMを指定できます。1つ以上の外部キー管理ツールを使用できます。次の条件が適用されます。

  • オンボードキーマネージャが有効になっている場合、外部キー管理ツールをクラスタレベルで有効にすることはできませんが、Storage VMレベルで有効にすることはできます。

  • 外部キー管理ツールがクラスタレベルで有効になっている場合、オンボードキーマネージャを有効にすることはできません。

外部キー管理ツールを使用する場合は、Storage VMおよびクラスタごとに最大4つのプライマリキーサーバを登録できます。各プライマリキーサーバは、最大3台のセカンダリキーサーバでクラスタ化できます。

外部キー管理ツールを設定する

Storage VMに外部キー管理ツールを追加するには、Storage VMのネットワークインターフェイスの設定時にオプションのゲートウェイを追加する必要があります。Storage VMをネットワークルートなしで作成した場合は、外部キー管理ツール用のルートを明示的に作成する必要があります。を参照してください "LIFを作成する(ネットワークインターフェイス)"

手順

外部キー管理ツールは、System Managerの別の場所から設定できます。

  1. 外部キー管理ツールを設定するには、次のいずれかの開始手順を実行します。

    ワークフロー

    ナビゲーション

    開始ステップ

    キーマネージャを設定します

    [クラスタ]>*[設定]*

    [セキュリティ]*セクションまでスクロールします。[暗号化]*で、を選択します 設定アイコン。[外部キーマネージャ]*を選択します。

    ローカル階層を追加してください

    ストレージ>*階層*

    [+ローカル階層の追加]*を選択します。[Configure Key Manager]チェックボックスをオンにします。[外部キーマネージャ]*を選択します。

    ストレージを準備

    ダッシュボード

    セクションで、[ストレージの準備]*を選択します。 次に、[Configure Key Manager]を選択します。[外部キーマネージャ]*を選択します。

    暗号化を設定(キー管理ツールをStorage VMスコープでのみ使用)

    ストレージ>* Storage VM *

    Storage VM を選択してください。[設定]タブを選択します。[暗号化]*セクションで、を選択します 設定アイコン

  2. プライマリキーサーバを追加するには、 +追加をクリックし、[IPアドレス]または[ホスト名]*および[ポート]*フィールドに入力します。

  3. インストールされている既存の証明書は、[KMIP Server CA Certificates]*フィールドと[KMIP Client Certificate]*フィールドに表示されます。 次のいずれかの操作を実行できます。

    • 選択するオプション プルダウン矢印 をクリックして、キー管理ツールにマッピングするインストール済み証明書を選択します。(複数のサービスCA証明書を選択できますが、選択できるクライアント証明書は1つだけです)。

    • まだインストールされていない証明書を追加して外部キー管理ツールにマッピングする場合は、*[新しい証明書の追加]*を選択します。

    • 選択するオプション X をクリックして、インストールされている証明書のうち外部キー管理ツールにマッピングしない証明書を削除します。

  4. セカンダリキーサーバを追加するには、[セカンダリキーサーバ]*列で[追加]*を選択し、詳細を指定します。

  5. [保存]*を選択して設定を完了します。

既存の外部キー管理ツールを編集します

すでに外部キー管理ツールを設定している場合は、その設定を変更できます。

手順

  1. 外部キー管理ツールの設定を編集するには、次のいずれかの開始手順を実行します。

    適用範囲

    ナビゲーション

    開始ステップ

    クラスタスコープの外部キー管理ツール

    [クラスタ]>*[設定]*

    セクションまでスクロールします。[暗号化]*で、を選択します kebab アイコンをクリックし、[外部キーマネージャの編集]*を選択します。

    Storage VMスコープの外部キー管理ツール

    ストレージ>* Storage VM *

    Storage VM を選択してください。[設定]タブを選択します。[暗号化]セクションで、を選択します kebab アイコンをクリックし、[外部キーマネージャの編集]*を選択します。

  2. 既存のキーサーバは*[キーサーバ]*の表に表示されます。次の操作を実行できます。

    • 次を選択して新しいキーサーバを追加します。 +追加

    • キーサーバを削除するには、 kebab アイコン キーサーバの名前を含むテーブルセルの最後に表示されます。そのプライマリキーサーバに関連付けられているセカンダリキーサーバも設定から削除されます。

外部キー管理ツールを削除します

ボリュームが暗号化されていない場合は、外部キー管理ツールを削除できます。

手順

  1. 外部キー管理ツールを削除するには、次のいずれかの手順を実行します。

    適用範囲

    ナビゲーション

    開始ステップ

    クラスタスコープの外部キー管理ツール

    [クラスタ]>*[設定]*

    セクションまでスクロールします。[暗号化]*で、を選択します kebab アイコンをクリックし、[外部キーマネージャの削除]*を選択します。

    Storage VMスコープの外部キー管理ツール

    ストレージ>* Storage VM *

    Storage VM を選択してください。[設定]タブを選択します。[暗号化]セクションで、を選択します kebab アイコンをクリックし、[外部キーマネージャの削除]*を選択します。

キー管理ツール間でキーを移行する

クラスタで複数のキー管理ツールを有効にしている場合は、キー管理ツール間でキーを移行する必要があります。このプロセスはSystem Managerで自動的に完了します。

  • オンボードキーマネージャまたは外部キーマネージャがクラスタレベルで有効になっていて、一部のボリュームが暗号化されている場合は、 その後、Storage VMレベルで外部キー管理ツールを設定する際には、それらのキーをクラスタレベルのオンボードキーマネージャまたは外部キー管理ツールからStorage VMレベルの外部キー管理ツールに移行する必要があります。 このプロセスは、System Managerによって自動的に実行されます。

  • Storage VMで暗号化なしでボリュームを作成した場合は、キーを移行する必要はありません。