Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

サイトのKMSを変更する際の考慮事項

PDF

各キー管理サーバー (KMS) または KMS クラスターは、単一のサイトまたはサイト グループにあるすべてのアプライアンス ノードに暗号化キーを提供します。サイトに使用する KMS を変更する必要がある場合は、暗号化キーをある KMS から別の KMS にコピーする必要がある場合があります。

サイトに使用されている KMS を変更する場合は、そのサイトにある以前に暗号化されたアプライアンス ノードを、新しい KMS に保存されているキーを使用して復号化できることを確認する必要があります。場合によっては、現在のバージョンの暗号化キーを元の KMS から新しい KMS にコピーする必要があります。サイトの暗号化されたアプライアンス ノードを復号化するには、KMS に正しいキーがあることを確認する必要があります。

例えば:

  1. 最初に、専用の KMS がないすべてのサイトに適用されるデフォルトの KMS を構成します。

  2. KMS が保存されると、*ノード暗号化*設定が有効になっているすべてのアプライアンス ノードが KMS に接続し、暗号化キーを要求します。このキーは、すべてのサイトのアプライアンス ノードを暗号化するために使用されます。これらのアプライアンスを復号化する場合にも、同じキーを使用する必要があります。

    KMSデフォルトキー

  3. 1 つのサイト (図のデータ センター 3) にサイト固有の KMS を追加することにしました。ただし、アプライアンス ノードはすでに暗号化されているため、サイト固有の KMS の構成を保存しようとすると検証エラーが発生します。このエラーは、サイト固有の KMS にそのサイトのノードを復号化するための正しいキーがないため発生します。

    KMS 間違ったキー

  4. この問題を解決するには、暗号化キーの現在のバージョンをデフォルトの KMS から新しい KMS にコピーします。 (技術的には、元のキーを同じエイリアスを持つ新しいキーにコピーします。元のキーは新しいキーの以前のバージョンになります。サイト固有の KMS には、データセンター 3 のアプライアンス ノードを復号化するための正しいキーが含まれるようになったため、 StorageGRIDに保存できるようになりました。

    KMSコピーキー

サイトで使用する KMS を変更するユースケース

次の表は、サイトの KMS を変更する最も一般的なケースに必要な手順をまとめたものです。

サイトの KMS を変更するユースケース 必要な手順

1 つ以上のサイト固有の KMS エントリがあり、そのうちの 1 つをデフォルトの KMS として使用します。

サイト固有の KMS を編集します。 キーの管理対象 フィールドで、別の KMS によって管理されていないサイト (デフォルトの KMS) を選択します。サイト固有の KMS がデフォルトの KMS として使用されるようになります。これは、専用の KMS を持たないすべてのサイトに適用されます。

"キー管理サーバー(KMS)を編集する"

デフォルトの KMS があり、拡張で新しいサイトを追加します。新しいサイトではデフォルトの KMS を使用しません。

  1. 新しいサイトのアプライアンス ノードがすでにデフォルトの KMS によって暗号化されている場合は、KMS ソフトウェアを使用して、暗号化キーの現在のバージョンをデフォルトの KMS から新しい KMS にコピーします。

  2. グリッド マネージャーを使用して、新しい KMS を追加し、サイトを選択します。

"キー管理サーバー(KMS)を追加する"

サイトの KMS で別のサーバーを使用する必要がある。

  1. サイトのアプライアンス ノードが既存の KMS によって既に暗号化されている場合は、KMS ソフトウェアを使用して、暗号化キーの現在のバージョンを既存の KMS から新しい KMS にコピーします。

  2. グリッド マネージャーを使用して、既存の KMS 構成を編集し、新しいホスト名または IP アドレスを入力します。

"キー管理サーバー(KMS)を追加する"