日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

セキュリティを設定します

寄稿者

StorageGRID システムのセキュリティを保護するために、 Grid Manager でさまざまなセキュリティ設定を行うことができます。

証明書

StorageGRID では、 2 種類のセキュリティ証明書が使用されます。

  • HTTPS 接続を使用する場合は、サーバ証明書が必要です。サーバ証明書は、クライアントとサーバ間のセキュアな接続を確立し、クライアントに対するサーバの ID を認証し、データのセキュアな通信パスを提供するために使用されます。サーバとクライアントには、それぞれ証明書のコピーがあります。

  • クライアント証明書は、クライアントまたはユーザ ID をサーバに対して認証し、パスワードだけではなくよりも安全な認証を提供します。クライアント証明書はデータを暗号化しません。

すべての StorageGRID 証明書は、 * configuration * > * Security * > * Certificates * ページで表示できます。

キー管理サーバ

1 つ以上の外部キー管理サーバ( KMS )を設定して、 StorageGRID サービスとストレージアプライアンスに暗号化キーを提供できます。KMS や KMS の各クラスタは、 Key Management Interoperability Protocol ( KMIP )を使用して、関連する StorageGRID サイトにあるアプライアンスノードに暗号化キーを提供します。キー管理サーバを使用すると、アプライアンスをデータセンターから削除した場合でも StorageGRID データを保護できます。アプライアンスのボリュームを暗号化すると、ノードが KMS と通信できないかぎり、アプライアンスのデータにアクセスすることはできません。

注記 暗号化キー管理を使用するには、インストール時にアプライアンスをグリッドに追加する前に、アプライアンスごとに * Node Encryption * の設定を有効にする必要があります。

プロキシ設定

S3 プラットフォームサービスまたはクラウドストレージプールを使用している場合は、ストレージノードと外部の S3 エンドポイントの間に非透過型プロキシサーバを設定できます。HTTPS または HTTP を使用して AutoSupport メッセージを送信する場合は、管理ノードとテクニカルサポートの間に非透過型プロキシサーバを設定できます。

プロキシ設定メニュー - ストレージ

信頼されていないクライアントネットワーク

クライアントネットワークを使用している場合は、各ノードのクライアントネットワークを信頼されていないものと指定することで、 StorageGRID を悪意のある攻撃から保護できます。ノードのクライアントネットワークが信頼されていない場合、ノードはロードバランサエンドポイントとして明示的に設定されたポートのインバウンド接続だけを受け入れます。

たとえば、 HTTPS S3 要求を除くクライアントネットワーク上のすべてのインバウンドトラフィックをゲートウェイノードで拒否できます。あるいは、ストレージノードからの S3 プラットフォームサービスのアウトバウンドトラフィックを有効にして、クライアントネットワークでのそのストレージノードへのインバウンド接続を禁止することができます。