Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

Barbican KMSでONTAPキーを管理する

共同作成者 netapp-bhouser
PDF

ONTAP 9.17.1以降では、OpenStackの"Barbican KMS"を使用してONTAP暗号化キーを保護できます。Barbican KMSは、キーを安全に保存およびアクセスするためのサービスです。Barbican KMSは、データSVMのNetApp Volume Encryption(NVE)キーを保護するために使用できます。Barbicanは、OpenStackのIDサービスである"OpenStack Keystone"を認証に使用します。

タスク概要

Barbican KMSによるキー管理は、CLIまたはONTAP REST APIで設定できます。9.17.1リリースでは、Barbican KMSのサポートに以下の制限があります:

  • Barbican KMSは、NetApp Storage Encryption(NSE)およびNetApp Aggregate Encryption(NAE)ではサポートされていません。代わりに、NSEおよびNVEキーには"外部KMIP"または"オンボード キー マネージャー(OKM)"を使用できます。

  • Barbican KMS は MetroCluster 構成ではサポートされていません。

  • Barbican KMS はデータ SVM に対してのみ設定できます。管理 SVM では使用できません。

特に明記されていない限り、 `admin`権限レベルの管理者は次の手順を実行できます。

開始する前に

  • Barbican KMSとOpenStack Keystoneを設定する必要があります。Barbicanで使用しているSVMは、BarbicanおよびOpenStack Keystoneサーバーへのネットワーク アクセスが必要です。

  • Barbican サーバーおよびOpenStack Keystone サーバーにカスタム証明機関(CA)を使用している場合は、 `security certificate install -type server-ca -vserver <admin_svm>`を使用して CA 証明書をインストールする必要があります。

Barbican KMS 構成を作成してアクティブ化する

SVM に新しい Barbican KMS 構成を作成し、アクティブ化することができます。SVM には複数の非アクティブな Barbican KMS 構成を含めることができますが、アクティブ化できるのは一度に 1 つだけです。

手順

  1. SVM の新しい非アクティブな Barbican KMS 構成を作成します:

    security key-manager external barbican create-config -vserver <svm_name> -config-name <unique_config_name> -key-id <key_id> -keystone-url <keystone_url> -application-cred-id <keystone_applications_credentials_id>

    • `-key-id`は、Barbican鍵暗号化キー(KEK)の鍵識別子です。 `https://`を含む完全なURLを入力してください。

      メモ 一部のURLには疑問符(?)が含まれています。疑問符はONTAPコマンドラインのアクティブヘルプを起動します。疑問符を含むURLを入力するには、まずコマンド `set -active-help false`でアクティブヘルプを無効にする必要があります。アクティブヘルプは、後でコマンド `set -active-help true`で再度有効にすることができます。詳細については、"ONTAPコマンド リファレンス"をご覧ください。

    • `-keystone-url`は、OpenStack Keystone認証ホストのURLです。 `https://`を含む完全なURLを入力してください。

    • -application-cred-id はアプリケーション認証クレデンシャル ID です。

      このコマンドを入力すると、アプリケーション認証クレデンシャルの秘密キーの入力を求められます。このコマンドは、非アクティブなBarbican KMS構成を作成します。

      次の例では、SVM `svm1`用に `config1`という名前の新しい非アクティブなBarbican KMS構成を作成します:

    cluster1::> security key-manager external barbican create-config -vserver svm1 -config-name config1 -keystone-url https://172.21.76.152:5000/v3 -application-cred-id app123 -key-id https://172.21.76.153:9311/v1/secrets/<id_value>

Enter the Application Credentials Secret for authentication with Keystone: <key_value>

  2. 新しい Barbican KMS 構成をアクティブ化します:

    security key-manager keystore enable -vserver <svm_name> -config-name <unique_config_name> -keystore barbican

    このコマンドを使用すると、Barbican KMS 構成を切り替えることができます。SVM 上に既にアクティブな Barbican KMS 構成がある場合は、その構成は非アクティブになり、新しい構成がアクティブになります。

  3. 新しい Barbican KMS 構成がアクティブであることを確認します:

    security key-manager external barbican check -vserver <svm_name> -node <node_name>

    このコマンドは、SVMまたはノード上のアクティブなBarbican KMS構成のステータスを表示します。例えば、ノード `node1`上のSVM `svm1`にアクティブなBarbican KMS構成がある場合、次のコマンドはその構成のステータスを返します:

    cluster1::> security key-manager external barbican check -node node1

Vserver: svm1
Node: node1

Category: service_reachability
              Status: OK

Category: kms_wrapped_key_status
              Status: OK

Barbican KMS構成の認証クレデンシャルと設定を更新する

アクティブまたは非アクティブな Barbican KMS 構成の現在の設定を表示および更新できます。

手順

  1. SVM の現在の Barbican KMS 構成を表示します:

    security key-manager external barbican show -vserver <svm_name>

    SVM 上の各 Barbican KMS 構成のキー ID、OpenStack Keystone URL、アプリケーション認証クレデンシャル ID が表示されます。

  2. Barbican KMS 構成の設定を更新します:

    security key-manager external barbican update-config -vserver <svm_name> -config-name <unique_config_name> -timeout <timeout> -verify <true|false> -verify-host <true|false>

    このコマンドは、指定されたBarbican KMS構成のタイムアウトと検証設定を更新します。 `timeout`ONTAPがBarbicanからの応答を待機する時間を秒単位で指定します。この時間を超えると接続が失敗します。デフォルト `timeout`は10秒です。 `verify`および `verify-host`は、接続前にBarbicanホストのIDとホスト名をそれぞれ検証するかどうかを指定します。デフォルトでは、これらのパラメータは `true`に設定されています。 `vserver`および `config-name`パラメータは必須です。その他のパラメータはオプションです。

  3. 必要に応じて、アクティブまたは非アクティブな Barbican KMS 構成の認証クレデンシャルを更新します。

    security key-manager external barbican update-credentials -vserver <svm_name> -config-name <unique_config_name> -application-cred-id <keystone_applications_credentials_id>

    このコマンドを入力すると、新しいアプリケーション認証クレデンシャルの秘密キーの入力を求められます。

  4. 必要に応じて、アクティブな Barbican KMS 構成の不足している SVM キー暗号化キー(KEK)を復元します:

    1. 失われた SVM KEK を次のように復元します: security key-manager external barbican restore

      security key-manager external barbican restore -vserver <svm_name>

      このコマンドは、Barbican サーバーと通信して、アクティブな Barbican KMS 構成の SVM KEK を復元します。

  5. 必要に応じて、Barbican KMS 構成の SVM KEK のキーを再設定します:

    1. 権限レベルをadvancedに設定します。

      set -privilege advanced

    2. SVM KEK を次のように再キー化します: security key-manager external barbican rekey-internal

      security key-manager external barbican rekey-internal -vserver <svm_name>

      このコマンドは、指定されたSVMの新しいSVM KEKを生成し、ボリューム暗号化キーを新しいSVM KEKで再ラップします。新しいSVM KEKは、アクティブなBarbican KMS構成によって保護されます。

Barbican KMS と Onboard Key Manager 間で暗号化キーを移行する

Barbican KMSからOnboard Key Manager(OKM)へ、またその逆の方法で暗号化キーを移行できます。OKMの詳細については、"オンボード キー管理の有効化(ONTAP 9.6以降)"をご覧ください。

手順

  1. 権限レベルをadvancedに設定します。

    set -privilege advanced

  2. 必要に応じて、Barbican KMS から OKM にキーを移行します:

    security key-manager key migrate -from-vserver <svm_name> -to-vserver <admin_svm_name>

    `svm_name`は、Barbican KMS 構成を持つ SVM の名前です。

  3. 必要に応じて、OKM から Barbican KMS に暗号化キーを移行します:

    security key-manager key migrate -from-vserver <admin_svm_name> -to-vserver <svm_name>

Barbican KMS 構成を無効化して削除する

暗号化されたボリュームのないアクティブな Barbican KMS 構成を無効にすることができ、非アクティブな Barbican KMS 構成を削除することができます。

手順

  1. 権限レベルをadvancedに設定します。

    set -privilege advanced

  2. アクティブな Barbican KMS 構成を無効にします:

    security key-manager keystore disable -vserver <svm_name>

    SVM 上に NVE で暗号化されたボリュームが存在する場合は、Barbican KMS 構成を無効にする前に、それらを復号化するキーを移行する必要があります。新しい Barbican KMS 構成をアクティブ化する場合、NVE ボリュームの復号化やキーの移行は不要で、現在アクティブな Barbican KMS 構成が無効になります。

  3. 非アクティブな Barbican KMS 構成を削除します:

    security key-manager keystore delete -vserver <svm_name> -config-name <unique_config_name> -type barbican