KMSでクライアントとしてStorageGRID を設定する
変更を提案
PDF
KMS を StorageGRID に追加する前に、各外部キー管理サーバまたは KMS クラスタのクライアントとして StorageGRID を設定する必要があります。
これらの手順は、 Thales CipherTrust Manager k170v 、バージョン 2.0 、 2.1 、および 2.2 に適用されます。StorageGRID で別のキー管理サーバを使用する方法については、テクニカルサポートにお問い合わせください。
-
KMS ソフトウェアから、使用する KMS または KMS クラスタごとに StorageGRID クライアントを作成します。
各 KMS は、 1 つのサイトまたはサイトグループにある StorageGRID アプライアンスノードの単一の暗号化キーを管理します。
-
KMS ソフトウェアから、 KMS または KMS クラスタごとに AES 暗号化キーを作成します。
暗号化キーはエクスポート可能である必要があります。
-
KMS または KMS クラスタごとに次の情報を記録します。
この情報は、 KMS を StorageGRID に追加するときに必要になります。
-
各サーバのホスト名または IP アドレス。
-
KMS で使用される KMIP ポート。
-
KMS 内の暗号化キーのキーエイリアス。
暗号化キーは KMS にすでに存在している必要があります。StorageGRID は KMS キーを作成または管理しません。
-
-
KMS または KMS クラスタごとに、認証局( CA )が署名したサーバ証明書または PEM でエンコードされた各 CA 証明書ファイルを含む証明書バンドルを、証明書チェーンの順序で連結して取得します。
サーバ証明書を使用すると、外部 KMS は StorageGRID に対して自身を認証できます。
-
証明書では、 Privacy Enhanced Mail ( PEM ) Base-64 エンコード X.509 形式を使用する必要があります。
-
各サーバ証明書の Subject Alternative Name ( SAN )フィールドには、 StorageGRID が接続する完全修飾ドメイン名( FQDN )または IP アドレスを含める必要があります。
StorageGRID で KMS を設定する場合は、「 * Hostname * 」フィールドに同じ FQDN または IP アドレスを入力する必要があります。 -
サーバ証明書は、 KMS の KMIP インターフェイスで使用されている証明書と一致する必要があります。通常はポート 5696 が使用されます。
-
-
外部 KMS によって StorageGRID に発行されたパブリッククライアント証明書とクライアント証明書の秘密鍵を取得します。
クライアント証明書は、 StorageGRID が KMS に対して自身を認証することを許可します。