オプション:ノード暗号化を有効にします
ノードの暗号化を有効にすると、アプライアンス内のディスクを安全なキー管理サーバ( KMS )暗号化によってサイト内での物理的な損失やデータの削除から保護することができます。アプライアンスのインストール時に、ノード暗号化を選択して有効にする必要があります。KMS暗号化プロセスの開始後は、ノード暗号化を無効にすることはできません。
ConfigBuilderを使用してJSONファイルを生成する場合は、ノード暗号化を自動的に有効にすることができます。を参照してください "アプライアンスのインストールと設定を自動化"。
に関する情報を確認します "KMSを設定しています"。
ノード暗号化が有効になっているアプライアンスは、 StorageGRID サイト用に設定されている外部キー管理サーバ( KMS )に接続します。各 KMS (または KMS クラスタ)は、サイトにあるすべてのアプライアンスノードの暗号化キーを管理します。これらのキーは、ノード暗号化が有効なアプライアンスで、各ディスク上のデータを暗号化および復号化します。
Grid Manager StorageGRID では、アプライアンスのインストール前またはインストール後に KMS を設定できます。詳細については、 StorageGRID の管理手順の KMS とアプライアンスの設定に関する情報を参照してください。
-
アプライアンスをインストールする前に KMS を設定すると、 KMS で制御される暗号化が開始されます。この暗号化は、アプライアンスでノード暗号化を有効にし、 KMS が設定されている StorageGRID サイトに追加します。
-
アプライアンスをインストールする前に KMS が設定されていない場合は、 KMS が設定され、アプライアンスノードを含むサイトで利用可能になった時点で、ノード暗号化が有効になっている各アプライアンスで KMS 制御された暗号化が実行されます。
ノード暗号化を有効にしてアプライアンスを設置すると、一時キーが割り当てられます。アプライアンスのデータは、アプライアンスがキー管理システム(KMS)に接続され、KMSセキュリティキーが設定されるまで保護されません。を参照してください "KMSアプライアンスの設定の概要" 追加情報 の場合。 |
ディスクの復号化にKMSキーが必要でないと、アプライアンス上のデータを取得できず、実質的に失われます。これは、KMSから復号化キーを取得できない場合に発生します。顧客が KMS 設定をクリアするか、 KMS キーの有効期限が切れるか、 KMS への接続が失われるか、 KMS キーがインストールされている StorageGRID システムからアプライアンスが削除されると、キーにアクセスできなくなります。
-
ブラウザを開き、アプライアンスのコンピューティングコントローラの IP アドレスのいずれかを入力します。
https://Controller_IP:8443
Controller_IP
は、3つのStorageGRID ネットワークのいずれかでのコンピューティングコントローラ(ストレージコントローラではない)のIPアドレスです。StorageGRID アプライアンスインストーラのホームページが表示されます。
アプライアンスがKMSキーで暗号化されたあとは、同じKMSキーを使用しないとアプライアンスのディスクを復号化できません。 -
Configure Hardware * > * Node Encryption * を選択します。
-
[ ノード暗号化を有効にする *] を選択します。
アプライアンスをインストールする前に、*[ノード暗号化の有効化]*を選択解除してデータが失われるリスクはありません。インストールを開始すると、アプライアンスノードがStorageGRID システム内のKMS暗号化キーにアクセスし、ディスク暗号化を開始します。アプライアンスの設置後にノード暗号化を無効にすることはできません。
KMSを使用するStorageGRID サイトにノード暗号化が有効になっているアプライアンスを追加したあとで、そのノードでKMS暗号化の使用を停止することはできません。 -
[ 保存( Save ) ] を選択します。
-
アプライアンスを StorageGRID システムのノードとして導入します。
KMS で制御される暗号化は、アプライアンスが StorageGRID サイト用に設定されている KMS キーにアクセスすると開始されます。KMS 暗号化プロセス中にインストーラによって進捗状況のメッセージが表示されます。この処理には、アプライアンス内のディスクボリュームの数によっては数分かかることがあります。
アプライアンスは、最初に各ディスクボリュームにランダムな KMS 以外の暗号化キーを割り当てて構成します。ディスクはこの一時的な暗号化キーを使用して暗号化されます。このキーは、ノード暗号化が有効になっているアプライアンスが StorageGRID サイト用に設定されている KMS キーにアクセスするまではセキュリティ保護されません。
アプライアンスノードがメンテナンスモードのときに使用されているノード暗号化ステータス、 KMS の詳細、および証明書を確認できます。を参照してください "メンテナンスモードでノード暗号化を監視します" を参照してください。