Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

キー管理サーバー(KMS)を追加する

PDF

各 KMS または KMS クラスターを追加するには、 StorageGRIDキー管理サーバ ウィザードを使用します。

開始する前に
タスク概要

可能であれば、別の KMS によって管理されていないすべてのサイトに適用されるデフォルトの KMS を構成する前に、サイト固有のキー管理サーバーを構成します。最初にデフォルトの KMS を作成すると、グリッド内のすべてのノード暗号化アプライアンスがデフォルトの KMS によって暗号化されます。後でサイト固有の KMS を作成する場合、まず、暗号化キーの現在のバージョンをデフォルトの KMS から新しい KMS にコピーする必要があります。見る"サイトのKMSを変更する際の考慮事項"詳細については。

ステップ1: KMSの詳細

キー管理サーバーの追加ウィザードの手順 1 (KMS の詳細) では、KMS または KMS クラスターの詳細を指定します。

手順

  1. 構成 > セキュリティ > *キー管理サーバー*を選択します。

    構成の詳細タブが選択された状態で、キー管理サーバー ページが表示されます。

  2. *作成*を選択します。

    キー管理サーバーの追加ウィザードのステップ 1 (KMS の詳細) が表示されます。

  3. KMS と、その KMS で構成したStorageGRIDクライアントについて、次の情報を入力します。

    フィールド 説明

    KMS name

    この KMS を識別するのに役立つ説明的な名前。 1 〜 64 文字にする必要があります。

    キー名

    KMS 内のStorageGRIDクライアントの正確なキーエイリアス。 1〜255 文字にする必要があります。

    : KMS 製品を使用してキーを作成していない場合は、 StorageGRIDでキーを作成するように求められます。

    キーを管理します

    この KMS に関連付けられるStorageGRIDサイト。可能であれば、別の KMS によって管理されていないすべてのサイトに適用されるデフォルトの KMS を構成する前に、サイト固有のキー管理サーバーを構成する必要があります。

    • この KMS が特定のサイトのアプライアンス ノードの暗号化キーを管理する場合は、サイトを選択します。

    • 専用の KMS を持たないサイトと、その後の拡張で追加するサイトに適用されるデフォルトの KMS を構成するには、[別の KMS によって管理されていないサイト (デフォルトの KMS)] を選択します。

      注意: 以前にデフォルトの KMS によって暗号化されたサイトを選択し、元の暗号化キーの現在のバージョンを新しい KMS に提供しなかった場合、KMS 構成を保存するときに検証エラーが発生します。

    ポート

    KMS サーバーがキー管理相互運用性プロトコル (KMIP) 通信に使用するポート。デフォルトは KMIP 標準ポートである 5696 です。

    ホスト名

    KMS の完全修飾ドメイン名または IP アドレス。

    注: サーバー証明書のサブジェクト別名 (SAN) フィールドには、ここで入力する FQDN または IP アドレスが含まれている必要があります。そうしないと、 StorageGRID はKMS または KMS クラスター内のすべてのサーバーに接続できなくなります。

  4. KMS クラスターを構成する場合は、「別のホスト名を追加」を選択して、クラスター内の各サーバーのホスト名を追加します。

  5. *続行*を選択します。

ステップ2: サーバー証明書をアップロードする

キー管理サーバーの追加ウィザードの手順 2 (サーバー証明書のアップロード) では、KMS のサーバー証明書 (または証明書バンドル) をアップロードします。サーバー証明書により、外部 KMS はStorageGRIDに対して自身を認証できるようになります。

手順

  1. ステップ 2 (サーバー証明書のアップロード) から、保存されたサーバー証明書または証明書バンドルの場所を参照します。

  2. 証明書ファイルをアップロードします。

    サーバー証明書のメタデータが表示されます。

    メモ 証明書バンドルをアップロードした場合、各証明書のメタデータがそれぞれのタブに表示されます。

  3. *続行*を選択します。

ステップ3: クライアント証明書をアップロードする

キー管理サーバーの追加ウィザードの手順 3 (クライアント証明書のアップロード) では、クライアント証明書とクライアント証明書の秘密キーをアップロードします。クライアント証明書により、 StorageGRID はKMS に対して自身を認証できるようになります。

手順

  1. ステップ 3 (クライアント証明書のアップロード) から、クライアント証明書の場所を参照します。

  2. クライアント証明書ファイルをアップロードします。

    クライアント証明書のメタデータが表示されます。

  3. クライアント証明書の秘密キーの場所を参照します。

  4. 秘密鍵ファイルをアップロードします。

  5. *テストして保存*を選択します。

    キーが存在しない場合は、 StorageGRIDにキーを作成するように要求されます。

    キー管理サーバーとアプライアンス ノード間の接続がテストされます。すべての接続が有効で、正しいキーが KMS に見つかった場合、新しいキー管理サーバーが [キー管理サーバー] ページのテーブルに追加されます。

    メモ KMS を追加するとすぐに、[キー管理サーバー] ページの証明書のステータスが [不明] と表示されます。 StorageGRID が各証明書の実際のステータスを取得するには、最大 30 分かかる場合があります。現在のステータスを確認するには、Web ブラウザを更新する必要があります。

  6. テストして保存 を選択したときにエラー メッセージが表示される場合は、メッセージの詳細を確認して OK を選択します。

    たとえば、接続テストが失敗した場合、「422: 処理できないエンティティ」というエラーが表示されることがあります。

  7. 外部接続をテストせずに現在の構成を保存する必要がある場合は、「強制保存」を選択します。

    注意 *強制保存*を選択すると、KMS 構成は保存されますが、各アプライアンスからその KMS への外部接続はテストされません。構成に問題がある場合は、影響を受けるサイトでノード暗号化が有効になっているアプライアンス ノードを再起動できない可能性があります。問題が解決されるまで、データにアクセスできなくなる可能性があります。

  8. 確認の警告を確認し、構成を強制的に保存する場合は [OK] を選択します。

    KMS 構成は保存されますが、KMS への接続はテストされません。