Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

KMSの管理

共同作成者
PDF

キー管理サーバ(KMS)の管理には、詳細の表示と編集、証明書の管理、暗号化されたノードの表示、不要になったKMSの削除が含まれます。

作業を開始する前に

KMS の詳細を確認します

キーの詳細、サーバ証明書とクライアント証明書の現在のステータスなど、StorageGRIDシステム内の各キー管理サーバ(KMS)に関する情報を表示できます。

手順

  1. 設定 * > * セキュリティ * > * キー管理サーバ * を選択します。

    [Key management server]ページに次の情報が表示されます。

    • [Configuration details]タブには、設定済みのキー管理サーバが表示されます。

    • [Encrypted nodes]タブには、ノード暗号化が有効になっているノードが表示されます。

  2. 特定のKMSの詳細を表示し、そのKMSに対して操作を実行するには、KMSの名前を選択します。KMSの詳細ページには、次の情報が表示されます。

    フィールド 説明

    のキーを管理します

    KMS に関連付けられている StorageGRID サイト。

    このフィールドには、特定の StorageGRID サイトの名前、または別の KMS (デフォルト KMS )で管理されていないサイト * が表示されます

    ホスト名

    KMS の完全修飾ドメイン名または IP アドレス。

    2 台のキー管理サーバからなるクラスタがある場合は、両方のサーバの完全修飾ドメイン名または IP アドレスが表示されます。クラスタに複数のキー管理サーバがある場合は、最初の KMS の完全修飾ドメイン名または IP アドレスと、クラスタ内の追加のキー管理サーバの数が表示されます。

    例: 10.10.10.10 and 10.10.10.11 または 10.10.10.10 and 2 others

    クラスタ内のすべてのホスト名を表示するには、KMSを選択して*または[アクション]>[編集]*を選択します。

  3. KMSの詳細ページでタブを選択すると、次の情報が表示されます。

    タブをクリックする フィールド 説明

    主な詳細

    キー名

    KMS 内の StorageGRID クライアントのキーエイリアス。

    キー UID

    キーの最新バージョンの一意の識別子。

    最終更新日

    キーの最新バージョンの日付と時刻。

    サーバ証明書

    メタデータ

    証明書のメタデータ(シリアル番号、有効期限の日時、証明書PEMなど)。

    証明書PEM

    証明書のPEM(Privacy Enhanced Mail)ファイルの内容。

    クライアント証明書

    メタデータ

    証明書のメタデータ(シリアル番号、有効期限の日時、証明書PEMなど)。

  4. 組織のセキュリティ対策で必要に応じて、*[Rotate key]*を選択するか、KMSソフトウェアを使用してキーの新しいバージョンを作成します。

    キーのローテーションが成功すると、[Key UID]フィールドと[Last modified]フィールドが更新されます。

    注意

    KMSソフトウェアを使用して暗号化キーをローテーションする場合は、最後に使用したバージョンのキーから新しいバージョンの同じキーにローテーションします。完全に別のキーに回転しないでください。

    KMS のキー名 ( エイリアス ) を変更して、キーの回転を試みないでください。StorageGRID では、以前に使用されていたすべてのキーバージョン(および今後使用するすべてのバージョン)に、同じキーエイリアスを使用して KMS からアクセスできることが必要です。設定されている KMS のキーエイリアスを変更すると、 StorageGRID がデータを復号化できなくなる可能性があります。

証明書を管理します

サーバ証明書またはクライアント証明書の問題に迅速に対処します。可能であれば、有効期限が切れる前に証明書を交換してください。

注意 データアクセスを維持するために、証明書の問題はできるだけ早く対処する必要があります。
手順

  1. 設定 * > * セキュリティ * > * キー管理サーバ * を選択します。

  2. 表で、KMSごとの証明書有効期限の値を確認します。

  3. 任意のKMSの証明書の有効期限が不明な場合は、30分ほど待ってからWebブラウザを更新してください。

  4. [証明書の有効期限]列に証明書の有効期限が切れているか有効期限に近づいていることが示されている場合は、KMSを選択してKMSの詳細ページに移動します。

    1. [サーバ証明書]*を選択し、[有効期限]フィールドの値を確認します。

    2. 証明書を置き換えるには、*[証明書の編集]*を選択して新しい証明書をアップロードします。

    3. これらのサブステップを繰り返し、サーバー証明書ではなく*クライアント証明書*を選択します。

  5. 「* kms CA certificate expiration 」、「 kms client certificate expiration 」、「 kms server certificate expiration *」の各アラートがトリガーされたら、各アラートの概要 をメモして推奨される対処方法を実行します。

    メモ 証明書の有効期限の更新がStorageGRIDで取得されるまでに30分ほどかかることがあります。現在の値を確認するには、Webブラウザをリフレッシュしてください。

暗号化されたノードを表示する

StorageGRID システムでノード暗号化 * 設定が有効になっているアプライアンスノードに関する情報を表示できます。

手順

  1. 設定 * > * セキュリティ * > * キー管理サーバ * を選択します。

    [Key Management Server] ページが表示されます。Configuration Details タブには、設定済みのすべてのキー管理サーバが表示されます。

  2. ページの上部で、*[暗号化されたノード]*タブを選択します。

    [Encrypted nodes]タブには、*[Node Encryption]*設定が有効になっているStorageGRID システム内のアプライアンスノードが表示されます。

  3. 各アプライアンスノードについて、表の情報を確認します。

    列( Column ) 説明

    ノード名

    アプライアンスノードの名前。

    ノードタイプ

    ノードのタイプ。 Storage 、 Admin 、または Gateway 。

    サイト

    ノードがインストールされている StorageGRID サイトの名前。

    KMS名

    ノードに使用される KMS の説明的な名前。

    KMSがリストされていない場合は、[Configuration details]タブを選択してKMSを追加します。

    "キー管理サーバ( KMS )を追加する"

    キー UID

    アプライアンスノードでデータの暗号化と復号化に使用する暗号化キーの一意の ID 。キーUID全体を表示するには、テキストを選択します。

    ダッシュ( - - )は、キー UID が不明であることを示します。アプライアンスノードと KMS 間の接続問題 が原因である可能性があります。

    ステータス

    KMS とアプライアンスノード間の接続のステータス。ノードが接続されている場合は、タイムスタンプが 30 分ごとに更新されます。KMS の設定変更後に接続ステータスが更新されるまで数分かかることがあります。

    *注:*新しい値を表示するには、Webブラウザを更新してください。

  4. ステータス列に KMS 問題 と表示されている場合は、問題 にすぐに対処してください。

    通常の KMS 操作中、ステータスは * KMS * に接続されます。ノードがグリッドから切断されると、ノードの接続状態が(意図的に停止しているか不明である)と表示されます。

    その他のステータスメッセージは、同じ名前の StorageGRID アラートに対応します。

    • KMS の設定をロードできませんでした

    • KMS 接続エラー

    • KMS 暗号化キー名が見つかりません

    • KMS 暗号化キーのローテーションに失敗しました

    • KMS キーでアプライアンスボリュームを復号化できませんでした

    • KMS は設定されていません

    これらのアラートに対して推奨される対処方法を実行します。

注意 問題が発生した場合は、データを完全に保護するために、すぐに対処する必要があります。

KMSの編集

証明書の有効期限が近づいている場合など、キー管理サーバの設定の編集が必要になることがあります。

作業を開始する前に
手順

  1. 設定 * > * セキュリティ * > * キー管理サーバ * を選択します。

    [Key management server]ページが表示され、設定済みのすべてのキー管理サーバが表示されます。

  2. 編集するKMSを選択し、[アクション]>*[編集]*を選択します。

    テーブルでKMS名を選択し、KMS詳細ページで*編集*を選択して、KMSを編集することもできます。

  3. 必要に応じて、キー管理サーバの編集ウィザードの*ステップ1(KMSの詳細)*で詳細を更新します。

    フィールド 説明

    KMS名

    この KMS を特定するのに役立つわかりやすい名前。1~64 文字で指定します。

    キー名

    KMS 内の StorageGRID クライアントの正確なキーエイリアス。1~255 文字で指定する必要があります。

    キー名の編集が必要になることはほとんどありません。たとえば、エイリアスの名前が KMS で変更された場合や、以前のキーのすべてのバージョンが新しいエイリアスのバージョン履歴にコピーされている場合は、キー名を編集する必要があります。

    のキーを管理します

    サイト固有のKMSを編集していて、まだデフォルトKMSを持っていない場合は、オプションで*[別のKMSで管理されていないサイト(デフォルトKMS)]*を選択します。このオプションを選択すると、サイト固有のKMSがデフォルトのKMSに変換されます。これは、専用のKMSを持たないすべてのサイトと、拡張で追加されたすべてのサイトに適用されます。

    *注:*サイト固有のKMSを編集している場合、別のサイトを選択することはできません。デフォルトのKMSを編集している場合、特定のサイトを選択することはできません。

    ポート

    KMS サーバが Key Management Interoperability Protocol ( KMIP )の通信に使用するポート。デフォルトでは、 KMIP 標準ポートである 5696 が使用されます。

    ホスト名

    KMS の完全修飾ドメイン名または IP アドレス。

    *注:*サーバ証明書のSubject Alternative Name(SAN)フィールドには、ここに入力するFQDNまたはIPアドレスが含まれている必要があります。そうしないと、 StorageGRID は KMS クラスタ内のすべてのサーバに接続できなくなります。

  4. KMSクラスタを構成する場合は、*[別のホスト名を追加]*を選択して、クラスタ内の各サーバのホスト名を追加します。

  5. 「 * Continue * 」を選択します。

    [キー管理サーバの編集]ウィザードの手順2(サーバ証明書のアップロード)が表示されます。

  6. サーバー証明書を置き換える必要がある場合は、 * 参照 * を選択して新しいファイルをアップロードします。

  7. 「 * Continue * 」を選択します。

    [Edit a Key Management Server]ウィザードの手順3(クライアント証明書のアップロード)が表示されます。

  8. クライアント証明書とクライアント証明書の秘密鍵を置き換える必要がある場合は、 * 参照 * を選択して新しいファイルをアップロードします。

  9. [テストして保存]*を選択します。

    キー管理サーバと影響を受けるサイトのすべてのノード暗号化アプライアンスノードの間の接続をテストします。すべてのノード接続が有効で、 KMS に正しいキーがある場合は、キー管理サーバが Key Management Server ページの表に追加されます。

  10. エラーメッセージが表示された場合は、メッセージの詳細を確認し、「 * OK * 」を選択します。

    たとえば、この KMS 用に選択したサイトが別の KMS によってすでに管理されている場合や、接続テストに失敗した場合は、「 422 : Unprocessable Entity 」というエラーが表示されます。

  11. 接続エラーを解決する前に現在の設定を保存する必要がある場合は、*[強制保存]*を選択します。

    注意 [Force save]*を選択すると、KMSの構成が保存されますが、各アプライアンスからそのKMSへの外部接続はテストされません。構成を含む問題 がある場合、該当するサイトでノード暗号化が有効になっているアプライアンスノードをリブートできない可能性があります。問題が解決するまでデータにアクセスできなくなる可能性があります。

    KMS の設定が保存されます。

  12. 確認の警告を確認し、設定を強制的に保存する場合は、「 * OK 」を選択します。

    KMS構成は保存されますが、KMSへの接続はテストされません。

キー管理サーバ( KMS )を削除する

場合によっては、キー管理サーバの削除が必要になることがあります。たとえば、サイトの運用を停止した場合は、サイト固有の KMS を削除できます。

作業を開始する前に
このタスクについて

KMS は以下の場合に削除できます。

  • サイトの運用が停止された場合や、ノードの暗号化が有効なアプライアンスノードがサイトに含まれていない場合は、サイト固有の KMS を削除できます。

  • ノード暗号化が有効なアプライアンスノードがあるサイトごとにサイト固有の KMS がすでに存在する場合は、デフォルトの KMS を削除できます。

手順

  1. 設定 * > * セキュリティ * > * キー管理サーバ * を選択します。

    [Key management server]ページが表示され、設定済みのすべてのキー管理サーバが表示されます。

  2. 削除するKMSを選択し、[アクション]>*[削除]*を選択します。

    テーブルでKMS名を選択し、KMS詳細ページで* Remove *を選択して、KMSを削除することもできます。

  3. 次の条件に該当することを確認します。

    • アプライアンスノードでノード暗号化が有効になっていないサイトのサイト固有のKMSを削除する場合。

    • デフォルトのKMSを削除しようとしていますが、ノード暗号化を使用して各サイトにサイト固有のKMSがすでに存在しています。

  4. 「 * はい * 」を選択します。

    KMS の設定は削除されます。