Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

キー管理サーバ( KMS )を編集する

共同作成者
PDF

証明書の有効期限が近づいている場合など、キー管理サーバの設定の編集が必要になることがあります。

必要なもの
手順

  1. 設定 * > * セキュリティ * > * キー管理サーバ * を選択します。

    Key Management Server ページが表示され、設定済みのすべてのキー管理サーバが表示されます。

    KMS 構成の詳細 KMS テーブル

  2. 編集する KMS を選択し、「 * 編集」を選択します。

  3. 必要に応じて、キー管理サーバの編集ウィザードの * 手順 1 ( KMS の詳細を入力) * で詳細を更新します。

    フィールド 説明

    KMS 表示名

    この KMS を特定するのに役立つわかりやすい名前。1~64 文字で指定します。

    キー名

    KMS 内の StorageGRID クライアントの正確なキーエイリアス。1~255 文字で指定する必要があります。

    キー名の編集が必要になることはほとんどありません。たとえば、エイリアスの名前が KMS で変更された場合や、以前のキーのすべてのバージョンが新しいエイリアスのバージョン履歴にコピーされている場合は、キー名を編集する必要があります。

    注意

    KMS のキー名 ( エイリアス ) を変更して、キーの回転を試みないでください。代わりに、 KMS ソフトウェアのキーバージョンを更新してキーをローテーションしてください。StorageGRID では、以前に使用されていたすべてのキーバージョン(および今後使用するすべてのバージョン)に、同じキーエイリアスを使用して KMS からアクセスできることが必要です。設定されている KMS のキーエイリアスを変更すると、 StorageGRID がデータを復号化できなくなる可能性があります。

    キー管理サーバを使用する際の考慮事項と要件

    のキーを管理します

    サイト固有の KMS を編集していて ' デフォルトの KMS がまだない場合は ' オプションで ' 別の KMS ( デフォルト KMS ) で管理されていないサイト * を選択しますこの選択により、サイト固有の KMS がデフォルトの KMS に変換されます。これは、専用の KMS を持たないすべてのサイトと、拡張時に追加されたサイトに適用されます。

    • 注: * サイト固有の KMS を編集している場合、別のサイトを選択することはできません。デフォルトの KMS を編集する場合は ' 特定のサイトを選択することはできません

    ポート

    KMS サーバが Key Management Interoperability Protocol ( KMIP )の通信に使用するポート。デフォルトでは、 KMIP 標準ポートである 5696 が使用されます。

    ホスト名

    KMS の完全修飾ドメイン名または IP アドレス。

    • 注: * サーバ証明書の SAN フィールドには、ここに入力する FQDN または IP アドレスを含める必要があります。そうしないと、 StorageGRID は KMS クラスタ内のすべてのサーバに接続できなくなります。

  4. KMS クラスタを構成する場合は、プラス記号を選択します アイコンプラス記号 クラスタ内の各サーバのホスト名を追加します。

  5. 「 * 次へ * 」を選択します。

    キー管理サーバの編集ウィザードの手順 2 (サーバ証明書をアップロード)が表示されます。

  6. サーバー証明書を置き換える必要がある場合は、 * 参照 * を選択して新しいファイルをアップロードします。

  7. 「 * 次へ * 」を選択します。

    キー管理サーバの編集ウィザードの手順 3 (クライアント証明書をアップロード)が表示されます。

  8. クライアント証明書とクライアント証明書の秘密鍵を置き換える必要がある場合は、 * 参照 * を選択して新しいファイルをアップロードします。

  9. [ 保存( Save ) ] を選択します。

    キー管理サーバと影響を受けるサイトのすべてのノード暗号化アプライアンスノードの間の接続をテストします。すべてのノード接続が有効で、 KMS に正しいキーがある場合は、キー管理サーバが Key Management Server ページの表に追加されます。

  10. エラーメッセージが表示された場合は、メッセージの詳細を確認し、「 * OK * 」を選択します。

    たとえば、この KMS 用に選択したサイトが別の KMS によってすでに管理されている場合や、接続テストに失敗した場合は、「 422 : Unprocessable Entity 」というエラーが表示されます。

  11. 接続エラーを解決する前に現在の設定を保存する必要がある場合は、 * 強制保存 * を選択します。

    重要 [ 強制保存 ] を選択すると KMS の設定が保存されますが、各アプライアンスからその KMS への外部接続はテストされません。構成を含む問題 がある場合、該当するサイトでノード暗号化が有効になっているアプライアンスノードをリブートできない可能性があります。問題が解決するまでデータにアクセスできなくなる可能性があります。

    KMS の設定が保存されます。

  12. 確認の警告を確認し、設定を強制的に保存する場合は、「 * OK 」を選択します。

    KMS 強制保存の警告

    KMS の設定は保存されますが、 KMS への接続はテストされません。