FIPS ドライブまたは SED を非保護モードに戻します
-
このドキュメント ページのPDF
-
ボリューム管理
- CLI を使用した論理ストレージ管理
-
NAS ストレージ管理
-
CLIを使用したSMBの管理
- SMB を使用したファイルアクセスの管理
-
CLIを使用したSMBの管理
- セキュリティとデータ暗号化
-
ボリューム管理
PDF版ドキュメントのセット
Creating your file...
FIPS ドライブまたは SED は、ノードの認証キー ID がデフォルト以外の値に設定されている場合にのみ不正アクセスから保護されます。を使用して、FIPSドライブまたはSEDを非保護モードに戻すことができます storage encryption disk modify
キーIDをデフォルトに設定するコマンド。
HA ペアで暗号化 SAS ドライブまたは NVMe ドライブ( SED 、 NSE 、 FIPS )を使用している場合は、システムを初期化する前に、 HA ペア内のすべてのドライブでこのプロセスに従う必要があります(ブートオプション 4 または 9 )。そうしないと、ドライブを転用した場合にデータが失われる可能性があります。
このタスクを実行するには、クラスタ管理者である必要があります。
-
権限レベルを advanced に設定します。
set -privilege advanced
-
FIPS ドライブが FIPS 準拠モードの場合は、ノードの FIPS 認証キー ID をデフォルトの MSID である 0x0 に戻します。
storage encryption disk modify -disk disk_id -fips-key-id 0x0
を使用できます
security key-manager query
キーIDを表示するコマンド。cluster1::> storage encryption disk modify -disk 2.10.11 -fips-key-id 0x0 Info: Starting modify on 14 disks. View the status of the operation by using the storage encryption disk show-status command.
次のコマンドで、処理が成功したことを確認します。
storage encryption disk show-status
show -statusコマンドを繰り返して、「Disksでした」と「Disks done」の番号が同じになるようにします。
cluster1:: storage encryption disk show-status FIPS Latest Start Execution Disks Disks Disks Node Support Request Timestamp Time (sec) Begun Done Successful ------- ------- -------- ------------------ ---------- ------ ------ ---------- cluster1 true modify 1/18/2022 15:29:38 3 14 5 5 1 entry was displayed.
-
ノードのデータ認証キー ID をデフォルトの MSID である 0x0 に戻します。
storage encryption disk modify -disk disk_id -data-key-id 0x0
の値
-data-key-id
SASドライブまたはNVMeドライブを非保護モードに戻すかどうかに関係なく、0x0に設定する必要があります。を使用できます
security key-manager query
キーIDを表示するコマンド。cluster1::> storage encryption disk modify -disk 2.10.11 -data-key-id 0x0 Info: Starting modify on 14 disks. View the status of the operation by using the storage encryption disk show-status command.
次のコマンドで、処理が成功したことを確認します。
storage encryption disk show-status
番号が同じになるまで、 show -status コマンドを繰り返します。「disks begin」と「disks done」の数値が同じであれば、処理は完了です。
メンテナンスモード
ONTAP 9.7以降では、FIPSドライブのキーを保守モードから変更できます。保守モードは、前のセクションのONTAP CLI手順を使用できない場合にのみ使用してください。
-
ノードのFIPS認証キーIDをデフォルトのMSIDである0x0に戻します。
disk encrypt rekey_fips 0x0 disklist
-
ノードのデータ認証キー ID をデフォルトの MSID である 0x0 に戻します。
disk encrypt rekey 0x0 disklist
-
FIPS認証キーのキーが変更されたことを確認します。
disk encrypt show_fips
-
データ認証キーのキーが変更されたことを確認します。
disk encrypt show
出力には、デフォルトのMSID 0x0キーIDまたはキーサーバが保持する64文字の値が表示される可能性があります。。
Locked?
フィールドはデータロックを表します。
Disk FIPS Key ID Locked? ---------- --------------------------- ------- 0a.01.0 0x0 Yes