Skip to main content
本製品の最新リリースがご利用いただけます。
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

キー管理サーバ( KMS )を編集する

共同作成者
PDF

証明書の有効期限が近づいている場合など、キー管理サーバの設定の編集が必要になることがあります。

作業を開始する前に
手順

  1. 設定 * > * セキュリティ * > * キー管理サーバ * を選択します。

    [Key management server]ページが表示され、設定済みのすべてのキー管理サーバが表示されます。

  2. 編集するKMSを選択し、[アクション]>*[編集]*を選択します。

    テーブルでKMS名を選択し、KMS詳細ページで*編集*を選択して、KMSを編集することもできます。

  3. 必要に応じて、キー管理サーバの編集ウィザードの*ステップ1(KMSの詳細)*で詳細を更新します。

    フィールド 説明

    KMS名

    この KMS を特定するのに役立つわかりやすい名前。1~64 文字で指定します。

    キー名

    KMS 内の StorageGRID クライアントの正確なキーエイリアス。1~255 文字で指定する必要があります。

    キー名の編集が必要になることはほとんどありません。たとえば、エイリアスの名前が KMS で変更された場合や、以前のキーのすべてのバージョンが新しいエイリアスのバージョン履歴にコピーされている場合は、キー名を編集する必要があります。

    注意

    KMS のキー名 ( エイリアス ) を変更して、キーの回転を試みないでください。代わりに、 KMS ソフトウェアのキーバージョンを更新してキーをローテーションしてください。StorageGRID では、以前に使用されていたすべてのキーバージョン(および今後使用するすべてのバージョン)に、同じキーエイリアスを使用して KMS からアクセスできることが必要です。設定されている KMS のキーエイリアスを変更すると、 StorageGRID がデータを復号化できなくなる可能性があります。

    "キー管理サーバを使用する際の考慮事項と要件"

    のキーを管理します

    サイト固有のKMSを編集していて、まだデフォルトKMSを持っていない場合は、オプションで*[別のKMSで管理されていないサイト(デフォルトKMS)]*を選択します。このオプションを選択すると、サイト固有のKMSがデフォルトのKMSに変換されます。これは、専用のKMSを持たないすべてのサイトと、拡張で追加されたすべてのサイトに適用されます。

    *注:*サイト固有のKMSを編集している場合、別のサイトを選択することはできません。デフォルトのKMSを編集している場合、特定のサイトを選択することはできません。

    ポート

    KMS サーバが Key Management Interoperability Protocol ( KMIP )の通信に使用するポート。デフォルトでは、 KMIP 標準ポートである 5696 が使用されます。

    ホスト名

    KMS の完全修飾ドメイン名または IP アドレス。

    *注:*サーバ証明書のSubject Alternative Name(SAN)フィールドには、ここに入力するFQDNまたはIPアドレスが含まれている必要があります。そうしないと、 StorageGRID は KMS クラスタ内のすべてのサーバに接続できなくなります。

  4. KMSクラスタを構成する場合は、*[別のホスト名を追加]*を選択して、クラスタ内の各サーバのホスト名を追加します。

  5. 「 * Continue * 」を選択します。

    [キー管理サーバの編集]ウィザードの手順2(サーバ証明書のアップロード)が表示されます。

  6. サーバー証明書を置き換える必要がある場合は、 * 参照 * を選択して新しいファイルをアップロードします。

  7. 「 * Continue * 」を選択します。

    [Edit a Key Management Server]ウィザードの手順3(クライアント証明書のアップロード)が表示されます。

  8. クライアント証明書とクライアント証明書の秘密鍵を置き換える必要がある場合は、 * 参照 * を選択して新しいファイルをアップロードします。

  9. [テストして保存]*を選択します。

    キー管理サーバと影響を受けるサイトのすべてのノード暗号化アプライアンスノードの間の接続をテストします。すべてのノード接続が有効で、 KMS に正しいキーがある場合は、キー管理サーバが Key Management Server ページの表に追加されます。

  10. エラーメッセージが表示された場合は、メッセージの詳細を確認し、「 * OK * 」を選択します。

    たとえば、この KMS 用に選択したサイトが別の KMS によってすでに管理されている場合や、接続テストに失敗した場合は、「 422 : Unprocessable Entity 」というエラーが表示されます。

  11. 接続エラーを解決する前に現在の設定を保存する必要がある場合は、*[強制保存]*を選択します。

    注意 [Force save]*を選択すると、KMSの構成が保存されますが、各アプライアンスからそのKMSへの外部接続はテストされません。構成を含む問題 がある場合、該当するサイトでノード暗号化が有効になっているアプライアンスノードをリブートできない可能性があります。問題が解決するまでデータにアクセスできなくなる可能性があります。

    KMS の設定が保存されます。

  12. 確認の警告を確認し、設定を強制的に保存する場合は、「 * OK 」を選択します。

    KMS の設定は保存されますが、 KMS への接続はテストされません。