Skip to main content
本製品の最新リリースがご利用いただけます。
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

キー管理サーバ( KMS )を追加する

共同作成者
PDF

StorageGRID キー管理サーバウィザードを使用して、各 KMS または KMS クラスタを追加します。

作業を開始する前に
このタスクについて

可能環境 であれば、サイト固有のキー管理サーバを設定してから、別の KMS で管理されていないデフォルトの KMS を設定してください。最初にデフォルトの KMS を作成すると、グリッド内のノードで暗号化されたすべてのアプライアンスがデフォルトの KMS で暗号化されます。サイト固有の KMS をあとで作成するには、まず、暗号化キーの現在のバージョンをデフォルトの KMS から新しい KMS にコピーする必要があります。を参照してください "サイトの KMS を変更する際の考慮事項" を参照してください。

ステップ1:KMSの詳細

キー管理サーバの追加ウィザードの手順1(KMSの詳細)で、KMSまたはKMSクラスタの詳細を指定します。

手順

  1. 設定 * > * セキュリティ * > * キー管理サーバ * を選択します。

    [設定の詳細]タブが選択された状態で、[キー管理サーバ]ページが表示されます。

    KMS の設定の詳細 KMS は不要です

  2. 「 * Create * 」を選択します。

    キー管理サーバの追加ウィザードの手順1(KMSの詳細)が表示されます。

    KMSステップ1 KMSの詳細を入力します

  3. KMS および設定した StorageGRID クライアントの情報を KMS で入力します。

    フィールド 説明

    KMS名

    この KMS を特定するのに役立つわかりやすい名前。1~64 文字で指定します。

    キー名

    KMS 内の StorageGRID クライアントの正確なキーエイリアス。1~255 文字で指定する必要があります。

    のキーを管理します

    この KMS に関連する StorageGRID サイトを参照してください。可能であれば、サイト固有のキー管理サーバを設定してから、環境 で他の KMS で管理されていないすべてのサイトをデフォルトの KMS で設定する必要があります。

    • 特定のサイトのアプライアンスノードの暗号化キーをこの KMS で管理する場合は、サイトを選択します。

    • 専用のKMSを持たないサイトや、その後の拡張で追加するサイトに適用されるデフォルトKMSを設定するには、*[別のKMSで管理されていないサイト(デフォルトKMS)]*を選択します。

      • 注: * 以前にデフォルト KMS で暗号化されていたサイトを選択しても、新しい KMS に元の暗号化キーの現在のバージョンを提供しなかった場合、 KMS の設定を保存すると、検証エラーが発生します。

    ポート

    KMS サーバが Key Management Interoperability Protocol ( KMIP )の通信に使用するポート。デフォルトでは、 KMIP 標準ポートである 5696 が使用されます。

    ホスト名

    KMS の完全修飾ドメイン名または IP アドレス。

    *注:*サーバ証明書のSubject Alternative Name(SAN)フィールドには、ここに入力するFQDNまたはIPアドレスが含まれている必要があります。そうしないと、 StorageGRID は KMS クラスタ内のすべてのサーバに接続できなくなります。

  4. KMSクラスタを構成する場合は、*[別のホスト名を追加]*を選択して、クラスタ内の各サーバのホスト名を追加します。

  5. 「 * Continue * 」を選択します。

手順2:サーバー証明書をアップロードします

キー管理サーバの追加ウィザードの手順2(サーバ証明書をアップロード)で、KMSのサーバ証明書(または証明書バンドル)をアップロードします。サーバ証明書を使用すると、外部 KMS は StorageGRID に対して自身を認証できます。

手順

  1. [手順2(サーバ証明書のアップロード)]*で、保存されているサーバ証明書または証明書バンドルの場所を参照します。

    KMSステップ2サーバー証明書をアップロードします

  2. 証明書ファイルをアップロードします。

    サーバ証明書のメタデータが表示されます。

    KMSサーバ証明書メタデータ
    メモ 証明書バンドルをアップロードした場合は、各証明書のメタデータが独自のタブに表示されます。

  3. 「 * Continue * 」を選択します。

手順3:クライアント証明書をアップロードします

キー管理サーバの追加ウィザードの手順3(クライアント証明書のアップロード)で、クライアント証明書とクライアント証明書の秘密鍵をアップロードします。クライアント証明書は、 StorageGRID が KMS に対して自身を認証することを許可します。

手順

  1. ステップ3(クライアント証明書のアップロード)*で、クライアント証明書の場所を参照します。

    KMSステップ3クライアント証明書をアップロードします

  2. クライアント証明書ファイルをアップロードします。

    クライアント証明書のメタデータが表示されます。

  3. クライアント証明書の秘密鍵の場所を参照します。

  4. 秘密鍵ファイルをアップロードします。

    KMSステップ3クライアント証明書メタデータ

  5. [テストして保存]*を選択します。

    キー管理サーバとアプライアンスノードの間の接続をテストします。すべての接続が有効で、正しいキーが KMS にある場合は、新しいキー管理サーバが Key Management Server ページの表に追加されます。

    メモ KMS を追加すると、すぐに [Key Management Server] ページの証明書ステータスが [Unknown (不明) ] と表示されます。各証明書の実際のステータスの StorageGRID 取得には 30 分程度かかる場合があります。最新のステータスを表示するには、 Web ブラウザの表示を更新する必要があります。

  6. を選択したときにエラーメッセージが表示された場合は、メッセージの詳細を確認し、[OK]*を選択します。

    たとえば、接続テストに失敗した場合は、 422 : Unprocessable Entity エラーが返されることがあります。

  7. 外部接続をテストせずに現在の設定を保存する必要がある場合は、*[強制保存]*を選択します。

    警告 [Force save]*を選択すると、KMSの構成が保存されますが、各アプライアンスからそのKMSへの外部接続はテストされません。構成を含む問題 がある場合、該当するサイトでノード暗号化が有効になっているアプライアンスノードをリブートできない可能性があります。問題が解決するまでデータにアクセスできなくなる可能性があります。

  8. 確認の警告を確認し、設定を強制的に保存する場合は、「 * OK 」を選択します。

    KMS の設定は保存されますが、 KMS への接続はテストされません。