Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP で FIPS ドライブまたは SED を非保護モードに戻す

共同作成者 netapp-ahibbard netapp-bhouser netapp-aaron-holt netapp-lenida netapp-dbagwell netapp-aherbin
PDF

FIPSドライブまたはSEDは、ノードの認証キーIDがデフォルト以外の値に設定されている場合にのみ、不正アクセスから保護されます。 `storage encryption disk modify`コマンドを使用してキーIDをデフォルトに設定することで、FIPSドライブまたはSEDを非保護モードに戻すことができます。非保護モードのFIPSドライブまたはSEDはデフォルトの暗号化キーを使用し、保護モードのFIPSドライブまたはSEDは提供された秘密の暗号化キーを使用します。ドライブ上に暗号化されたデータが存在する場合、ドライブを非保護モードにリセットしても、データは暗号化されたままであり、漏洩することはありません。

メモ FIPSドライブまたはSEDが非保護モードに戻った後、暗号化されたデータにアクセスできないようにするには、以下の手順に従ってください。FIPSとデータキーIDがリセットされると、元のキーを復元しない限り、既存のデータは復号化できなくなり、アクセスできなくなります。

HAペアでSASドライブまたはNVMeドライブ(SED、NSE、FIPS)の暗号化を使用している場合は、システムを初期化(ブート オプション4または9)する前に、HAペア内のすべてのドライブに対してこのプロセスを実行しておく必要があります。この手順を実行しないと、将来ドライブを転用した場合にデータが失われる可能性があります。

開始する前に

このタスクを実行するには、クラスタ管理者である必要があります。

手順

  1. 権限レベルをadvancedに設定します。

    set -privilege advanced

  2. FIPSドライブがFIPS準拠モードの場合は、ノードのFIPS認証キーIDをデフォルトのMSIDである0x0に戻します。

    storage encryption disk modify -disk disk_id -fips-key-id 0x0

    `security key-manager query`コマンドを使用してキー ID を表示できます。
    cluster1::> storage encryption disk modify -disk 2.10.11 -fips-key-id 0x0

Info: Starting modify on 14 disks.
      View the status of the operation by using the
      storage encryption disk show-status command.

    次のコマンドを使用して、処理が成功したことを確認します。

    storage encryption disk show-status

    「Disks Begun」と「Disks Done」の数字が同じになるまで、show-statusコマンドを繰り返します。

    cluster1:: storage encryption disk show-status

            FIPS    Latest   Start               Execution   Disks   Disks Disks
Node        Support Request  Timestamp           Time (sec)  Begun   Done  Successful
-------     ------- -------- ------------------  ---------- ------ ------  ----------
cluster1    true    modify   1/18/2022 15:29:38    3           14     5         5
1 entry was displayed.

  3. ノードのデータ認証キーIDをデフォルトのMSIDである0x0に戻します。

    storage encryption disk modify -disk disk_id -data-key-id 0x0

    SAS ドライブまたは NVMe ドライブを非保護モードに戻す場合は、 `-data-key-id`の値を 0x0 に設定する必要があります。

    `security key-manager query`コマンドを使用してキー ID を表示できます。
    cluster1::> storage encryption disk modify -disk 2.10.11 -data-key-id 0x0

Info: Starting modify on 14 disks.
      View the status of the operation by using the
      storage encryption disk show-status command.

    次のコマンドを使用して、処理が成功したことを確認します。

    storage encryption disk show-status

    数値が同じになるまで、show-statusコマンドを繰り返します。「disks begun」と「disks done」の数値が同じになったら、操作は完了です。

メンテナンスモード

ONTAP 9.7以降では、FIPSドライブのキー変更をメンテナンス モードから行うことができます。メンテナンス モードは、前のセクションに記載したONTAP CLIの手順を実行できない場合にのみ使用してください。

手順

  1. ノードのFIPS認証キーIDをデフォルトのMSIDである0x0に戻します。

    disk encrypt rekey_fips 0x0 disklist

  2. ノードのデータ認証キーIDをデフォルトのMSIDである0x0に戻します。

    disk encrypt rekey 0x0 disklist

  3. FIPS認証キーが正常に変更されたことを確認します。

    disk encrypt show_fips

  4. 次のコマンドを使用して、データ認証キーが正常に変更されたことを確認します。

    disk encrypt show

    出力には、デフォルトのMSID 0x0キーID、またはキーサーバーが保持する64文字の値が表示される可能性があります。 `Locked?`フィールドはデータロックを示します。

Disk       FIPS Key ID                 Locked?
---------- --------------------------- -------
0a.01.0    0x0                          Yes
関連情報