Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAPでFIPSドライブまたはSEDを非保護モードに戻す

共同作成者 netapp-ahibbard netapp-bhouser netapp-aaron-holt netapp-lenida netapp-dbagwell netapp-aherbin
PDF

FIPSドライブまたはSEDは、ノードの認証キーIDがデフォルト以外の値に設定されている場合にのみ不正アクセスから保護されます。FIPSドライブまたはSEDを非保護モードに戻すには、コマンドを使用して `storage encryption disk modify`キーIDをデフォルトに設定します。非保護モードのFIPSドライブまたはSEDではデフォルトの暗号化キーが使用され、保護モードのFIPSドライブまたはSEDでは指定したシークレット暗号化キーが使用されます。ドライブに暗号化されたデータがあり、ドライブが非保護モードにリセットされても、データは暗号化されたままになり、公開されません。

メモ FIPS ドライブまたは SED が非保護モードに戻った後、暗号化されたデータにアクセスできなくなるようにするには、次の手順に従ってください。FIPS とデータ キー ID がリセットされると、元のキーを復元しない限り、既存のデータは復号化できなくなり、アクセスできなくなります。

HAペアで暗号化SASドライブまたはNVMeドライブ(SED、NSE、FIPS)を使用している場合は、システムを初期化する前に、HAペア内のすべてのドライブでこのプロセスを実行する必要があります(ブートオプション4または9)。これを行わないと、ドライブを転用した場合にデータが失われる可能性があります。

開始する前に

このタスクを実行するには、クラスタ管理者である必要があります。

手順

  1. 権限レベルをadvancedに設定します。

    set -privilege advanced

  2. FIPSドライブがFIPS準拠モードの場合は、ノードのFIPS認証キーIDをデフォルトのMSIDである0x0に戻します。

    storage encryption disk modify -disk disk_id -fips-key-id 0x0

    キーIDは、コマンドを使用して表示できます security key-manager query

    cluster1::> storage encryption disk modify -disk 2.10.11 -fips-key-id 0x0

Info: Starting modify on 14 disks.
      View the status of the operation by using the
      storage encryption disk show-status command.

    コマンドを使用して、処理が成功したことを確認します。

    storage encryption disk show-status

    「Disks Begun」と「Disks Done」の数字が同じになるまで、show-status コマンドを繰り返します。

    cluster1:: storage encryption disk show-status

            FIPS    Latest   Start               Execution   Disks   Disks Disks
Node        Support Request  Timestamp           Time (sec)  Begun   Done  Successful
-------     ------- -------- ------------------  ---------- ------ ------  ----------
cluster1    true    modify   1/18/2022 15:29:38    3           14     5         5
1 entry was displayed.

  3. ノードのデータ認証キーIDをデフォルトのMSIDである0x0に戻します。

    storage encryption disk modify -disk disk_id -data-key-id 0x0

    SASドライブとNVMeドライブのどちらを非保護モードに戻すかに関係なく、の値は `-data-key-id`0x0に設定する必要があります。

    キーIDは、コマンドを使用して表示できます security key-manager query

    cluster1::> storage encryption disk modify -disk 2.10.11 -data-key-id 0x0

Info: Starting modify on 14 disks.
      View the status of the operation by using the
      storage encryption disk show-status command.

    コマンドを使用して、処理が成功したことを確認します。

    storage encryption disk show-status

    値が同じになるまでshow-statusコマンドを繰り返します。「disks began」と「disks done」の数字が同じであれば、操作は完了です。

メンテナンスモオト

ONTAP 9 .7以降では、保守モードからFIPSドライブのキーを変更できます。保守モードは、前述のONTAP CLIの手順を使用できない場合にのみ使用してください。

手順

  1. ノードのFIPS認証キーIDをデフォルトのMSIDである0x0に戻します。

    disk encrypt rekey_fips 0x0 disklist

  2. ノードのデータ認証キーIDをデフォルトのMSIDである0x0に戻します。

    disk encrypt rekey 0x0 disklist

  3. FIPS認証キーのキーが正常に変更されたことを確認します。

    disk encrypt show_fips

  4. データ認証キーのキーが変更されたことを確認します。

    disk encrypt show

    出力には、デフォルトのMSID 0x0キーIDまたはキーサーバが保持する64文字の値が表示される可能性があります。 `Locked?`フィールドはデータロックを参照します。

Disk       FIPS Key ID                 Locked?
---------- --------------------------- -------
0a.01.0    0x0                          Yes
関連情報