Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

FIPSドライブまたはSEDを非保護モードに戻します。

共同作成者
PDF

FIPSドライブまたはSEDは、ノードの認証キーIDがデフォルト以外の値に設定されている場合にのみ不正アクセスから保護されます。FIPSドライブまたはSEDを非保護モードに戻すには、コマンドを使用して `storage encryption disk modify`キーIDをデフォルトに設定します。

HAペアで暗号化SASドライブまたはNVMeドライブ(SED、NSE、FIPS)を使用している場合は、システムを初期化する前に、HAペア内のすべてのドライブでこのプロセスを実行する必要があります(ブートオプション4または9)。これを行わないと、ドライブを転用した場合にデータが失われる可能性があります。

開始する前に

このタスクを実行するには、クラスタ管理者である必要があります。

手順

  1. 権限レベルをadvancedに設定します。

    set -privilege advanced

  2. FIPSドライブがFIPS準拠モードの場合は、ノードのFIPS認証キーIDをデフォルトのMSIDである0x0に戻します。

    storage encryption disk modify -disk disk_id -fips-key-id 0x0

    キーIDは、コマンドを使用して表示できます security key-manager query

    cluster1::> storage encryption disk modify -disk 2.10.11 -fips-key-id 0x0

Info: Starting modify on 14 disks.
      View the status of the operation by using the
      storage encryption disk show-status command.

    コマンドを使用して、処理が成功したことを確認します。

    storage encryption disk show-status

    「Disks Begin」と「Disks Done」の数値が同じになるまで、show-statusコマンドを繰り返します。

    cluster1:: storage encryption disk show-status

            FIPS    Latest   Start               Execution   Disks   Disks Disks
Node        Support Request  Timestamp           Time (sec)  Begun   Done  Successful
-------     ------- -------- ------------------  ---------- ------ ------  ----------
cluster1    true    modify   1/18/2022 15:29:38    3           14     5         5
1 entry was displayed.

  3. ノードのデータ認証キーIDをデフォルトのMSIDである0x0に戻します。

    storage encryption disk modify -disk disk_id -data-key-id 0x0

    SASドライブとNVMeドライブのどちらを非保護モードに戻すかに関係なく、の値は `-data-key-id`0x0に設定する必要があります。

    キーIDは、コマンドを使用して表示できます security key-manager query

    cluster1::> storage encryption disk modify -disk 2.10.11 -data-key-id 0x0

Info: Starting modify on 14 disks.
      View the status of the operation by using the
      storage encryption disk show-status command.

    コマンドを使用して、処理が成功したことを確認します。

    storage encryption disk show-status

    番号が同じになるまで、show-statusコマンドを繰り返します。処理が完了するのは、「ディスクの開始」と「ディスクの終了」の番号が同じ場合です。

メンテナンスモオト

ONTAP 9 .7以降では、保守モードからFIPSドライブのキーを変更できます。保守モードは、前述のONTAP CLIの手順を使用できない場合にのみ使用してください。

手順

  1. ノードのFIPS認証キーIDをデフォルトのMSIDである0x0に戻します。

    disk encrypt rekey_fips 0x0 disklist

  2. ノードのデータ認証キーIDをデフォルトのMSIDである0x0に戻します。

    disk encrypt rekey 0x0 disklist

  3. FIPS認証キーのキーが正常に変更されたことを確認します。

    disk encrypt show_fips

  4. データ認証キーのキーが変更されたことを確認します。

    disk encrypt show

    出力には、デフォルトのMSID 0x0キーIDまたはキーサーバが保持する64文字の値が表示される可能性があります。 `Locked?`フィールドはデータロックを参照します。

Disk       FIPS Key ID                 Locked?
---------- --------------------------- -------
0a.01.0    0x0                          Yes