Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

KMSを管理する

PDF

キー管理サーバー (KMS) の管理には、詳細の表示または編集、証明書の管理、暗号化されたノードの表示、不要になった KMS の削除が含まれます。

開始する前に

KMSの詳細を表示

StorageGRIDシステム内の各キー管理サーバー (KMS) に関する情報 (キーの詳細、サーバーおよびクライアント証明書の現在のステータスなど) を表示できます。

手順

  1. 構成 > セキュリティ > *キー管理サーバー*を選択します。

    キー管理サーバー ページが表示され、次の情報が表示されます。

    • [構成の詳細] タブには、構成されているキー管理サーバーの一覧が表示されます。

    • 「暗号化されたノード」タブには、ノード暗号化が有効になっているノードが一覧表示されます。

  2. 特定の KMS の詳細を表示し、その KMS に対して操作を実行するには、KMS の名前を選択します。 KMS の詳細ページには、次の情報が表示されます。

    フィールド 説明

    キーを管理します

    KMS に関連付けられたStorageGRIDサイト。

    このフィールドには、特定のStorageGRIDサイトの名前、または 別の KMS によって管理されていないサイト (デフォルトの KMS) が表示されます。

    ホスト名

    KMS の完全修飾ドメイン名または IP アドレス。

    2 つのキー管理サーバーのクラスターがある場合は、両方のサーバーの完全修飾ドメイン名または IP アドレスがリストされます。クラスター内に 3 台以上のキー管理サーバーが存在する場合、最初の KMS の完全修飾ドメイン名または IP アドレスが、クラスター内の追加のキー管理サーバーの数とともに一覧表示されます。

    例えば: 10.10.10.10 and 10.10.10.11`または `10.10.10.10 and 2 others

    クラスター内のすべてのホスト名を表示するには、KMS を選択し、[編集] または [アクション] > [編集] を選択します。

  3. KMS 詳細ページでタブを選択すると、次の情報が表示されます。

    タブ フィールド 説明

    主な詳細

    キー名

    KMS 内のStorageGRIDクライアントのキー エイリアス。

    キーUID

    キーの最新バージョンの一意の識別子。

    最終更新日

    キーの最新バージョンの日時。

    サーバ証明書

    メタデータ

    証明書のメタデータ (シリアル番号、有効期限、時刻、証明書 PEM など)。

    証明書PEM

    証明書の PEM (プライバシー強化メール) ファイルの内容。

    クライアント証明書

    メタデータ

    証明書のメタデータ (シリアル番号、有効期限、時刻、証明書 PEM など)。

  4. 組織のセキュリティ慣行で必要な頻度で、「キーのローテーション」を選択するか、KMS ソフトウェアを使用して新しいバージョンのキーを作成します。

    キーのローテーションが成功すると、キー UID と最終変更日フィールドが更新されます。

    注意

    KMS ソフトウェアを使用して暗号化キーをローテーションする場合は、最後に使用したキーのバージョンから同じキーの新しいバージョンにローテーションします。まったく異なるキーに回転しないでください。

    KMS のキー名 (エイリアス) を変更してキーをローテーションしないでください。 StorageGRID、以前に使用したすべてのキー バージョン (および将来のバージョン) が同じキー エイリアスを使用して KMS からアクセスできる必要があります。構成された KMS のキー エイリアスを変更すると、 StorageGRID はデータを復号化できなくなる可能性があります。

証明書の管理

サーバーまたはクライアント証明書に関する問題があれば速やかに対処してください。可能であれば、証明書の有効期限が切れる前に交換してください。

注意 データ アクセスを維持するには、証明書の問題をできるだけ早く解決する必要があります。
手順

  1. 構成 > セキュリティ > *キー管理サーバー*を選択します。

  2. 表で、各 KMS の証明書の有効期限の値を確認します。

  3. いずれかの KMS の証明書の有効期限が不明な場合は、最大 30 分待ってから Web ブラウザを更新してください。

  4. 証明書の有効期限列に証明書の有効期限が切れているか、有効期限が近づいていることが示されている場合は、KMS を選択して KMS の詳細ページに移動します。

    1. *サーバー証明書*を選択し、「有効期限」フィールドの値を確認します。

    2. 証明書を置き換えるには、[証明書の編集] を選択して新しい証明書をアップロードします。

    3. これらのサブステップを繰り返し、サーバー証明書の代わりに*クライアント証明書*を選択します。

  5. KMS CA 証明書の有効期限KMS クライアント証明書の有効期限、および KMS サーバー証明書の有効期限 アラートがトリガーされた場合は、各アラートの説明をメモし、推奨されるアクションを実行してください。

    StorageGRID が証明書の有効期限の更新を取得するには、最大 30 分かかる場合があります。現在の値を表示するには、Web ブラウザを更新してください。

メモ サーバー証明書のステータスが不明 というステータスが表示される場合は、KMS でクライアント証明書を必要とせずにサーバー証明書を取得できることを確認してください。

暗号化されたノードを表示する

*ノード暗号化*設定が有効になっているStorageGRIDシステム内のアプライアンス ノードに関する情報を表示できます。

手順

  1. 構成 > セキュリティ > *キー管理サーバー*を選択します。

    キー管理サーバー ページが表示されます。 [構成の詳細] タブには、構成されているキー管理サーバーが表示されます。

  2. ページの上部から、[暗号化されたノード] タブを選択します。

    [暗号化されたノード] タブには、 StorageGRIDシステム内の ノード暗号化 設定が有効になっているアプライアンス ノードが一覧表示されます。

  3. 各アプライアンス ノードの表の情報を確認します。

    説明

    ノード名

    アプライアンス ノードの名前。

    ノード タイプ

    ノードのタイプ: ストレージ、管理、またはゲートウェイ。

    サイト

    ノードがインストールされているStorageGRIDサイトの名前。

    KMS name

    ノードに使用される KMS の説明的な名前。

    KMS がリストされていない場合は、[構成の詳細] タブを選択して KMS を追加します。

    "キー管理サーバー(KMS)を追加する"

    キーUID

    アプライアンス ノード上のデータの暗号化と復号化に使用される暗号化キーの一意の ID。キー UID 全体を表示するには、テキストを選択します。

    ダッシュ (--) は、アプライアンス ノードと KMS 間の接続の問題が原因で、キー UID が不明であることを示します。

    ステータス

    KMS とアプライアンス ノード間の接続の状態。ノードが接続されている場合、タイムスタンプは 30 分ごとに更新されます。 KMS 構成の変更後、接続ステータスが更新されるまでに数分かかる場合があります。

    注: 新しい値を表示するには、Web ブラウザを更新してください。

  4. ステータス列に KMS の問題が示されている場合は、すぐに問題に対処してください。

    通常の KMS 操作中は、ステータスは KMS に接続済み になります。ノードがグリッドから切断されている場合、ノードの接続状態 (管理上ダウンまたは不明) が表示されます。

    その他のステータス メッセージは、同じ名前のStorageGRIDアラートに対応しています。

    • KMS構成の読み込みに失敗しました

    • KMS接続エラー

    • KMS暗号化キー名が見つかりません

    • KMS暗号化キーのローテーションに失敗しました

    • KMS キーがアプライアンス ボリュームの暗号化に失敗しました

    • KMSが設定されていません

    これらのアラートに対して推奨されるアクションを実行します。

注意 データが完全に保護されるようにするには、問題があればすぐに対処する必要があります。

KMSの編集

たとえば、証明書の有効期限が近づいている場合など、キー管理サーバーの構成を編集する必要がある場合があります。

開始する前に
手順

  1. 構成 > セキュリティ > *キー管理サーバー*を選択します。

    キー管理サーバー ページが表示され、構成されているすべてのキー管理サーバーが表示されます。

  2. 編集する KMS を選択し、[アクション] > [編集] を選択します。

    表内の KMS 名を選択し、KMS 詳細ページで 編集 を選択して、KMS を編集することもできます。

  3. 必要に応じて、キー管理サーバーの編集ウィザードの*ステップ 1 (KMS の詳細)* で詳細を更新します。

    フィールド 説明

    KMS name

    この KMS を識別するのに役立つ説明的な名前。 1 〜 64 文字にする必要があります。

    キー名

    KMS 内のStorageGRIDクライアントの正確なキーエイリアス。 1〜255 文字にする必要があります。

    キー名を編集する必要があるのは、まれなケースのみです。たとえば、KMS でエイリアスの名前が変更された場合や、以前のキーのすべてのバージョンが新しいエイリアスのバージョン履歴にコピーされた場合は、キー名を編集する必要があります。

    キーを管理します

    サイト固有の KMS を編集していて、デフォルトの KMS がまだない場合は、オプションで 別の KMS によって管理されていないサイト (デフォルトの KMS) を選択します。これを選択すると、サイト固有の KMS がデフォルトの KMS に変換され、専用の KMS を持たないすべてのサイトと、拡張で追加されたすべてのサイトに適用されます。

    注意: サイト固有の KMS を編集している場合は、別のサイトを選択することはできません。デフォルトの KMS を編集している場合は、特定のサイトを選択することはできません。

    ポート

    KMS サーバーがキー管理相互運用性プロトコル (KMIP) 通信に使用するポート。デフォルトは KMIP 標準ポートである 5696 です。

    ホスト名

    KMS の完全修飾ドメイン名または IP アドレス。

    注: サーバー証明書のサブジェクト別名 (SAN) フィールドには、ここで入力する FQDN または IP アドレスが含まれている必要があります。そうしないと、 StorageGRID はKMS または KMS クラスター内のすべてのサーバーに接続できなくなります。

  4. KMS クラスターを構成する場合は、「別のホスト名を追加」を選択して、クラスター内の各サーバーのホスト名を追加します。

  5. *続行*を選択します。

    キー管理サーバーの編集ウィザードのステップ 2 (サーバー証明書のアップロード) が表示されます。

  6. サーバー証明書を置き換える必要がある場合は、[参照] を選択して新しいファイルをアップロードします。

  7. *続行*を選択します。

    キー管理サーバーの編集ウィザードのステップ 3 (クライアント証明書のアップロード) が表示されます。

  8. クライアント証明書とクライアント証明書の秘密キーを置き換える必要がある場合は、[参照] を選択して新しいファイルをアップロードします。

  9. *テストして保存*を選択します。

    影響を受けるサイトにあるキー管理サーバーとすべてのノード暗号化アプライアンス ノード間の接続がテストされます。すべてのノード接続が有効で、正しいキーが KMS 上に見つかった場合、キー管理サーバーが「キー管理サーバー」ページのテーブルに追加されます。

  10. エラーメッセージが表示された場合は、メッセージの詳細を確認し、「OK」を選択します。

    たとえば、この KMS に選択したサイトが既に別の KMS によって管理されている場合、または接続テストが失敗した場合は、「422: 処理できないエンティティ」エラーが表示されることがあります。

  11. 接続エラーを解決する前に現在の構成を保存する必要がある場合は、[強制保存] を選択します。

    注意 *強制保存*を選択すると、KMS 構成は保存されますが、各アプライアンスからその KMS への外部接続はテストされません。構成に問題がある場合は、影響を受けるサイトでノード暗号化が有効になっているアプライアンス ノードを再起動できない可能性があります。問題が解決されるまで、データにアクセスできなくなる可能性があります。

    KMS 構成が保存されます。

  12. 確認の警告を確認し、構成を強制的に保存する場合は [OK] を選択します。

    KMS 構成は保存されますが、KMS への接続はテストされません。

キー管理サーバー(KMS)を削除する

場合によっては、キー管理サーバーを削除する必要がある場合があります。たとえば、サイトを廃止した場合は、サイト固有の KMS を削除する必要がある場合があります。

開始する前に
タスク概要

次の場合には KMS を削除できます。

  • サイトが廃止された場合、またはサイトにノード暗号化が有効になっているアプライアンス ノードが含まれていない場合は、サイト固有の KMS を削除できます。

  • ノード暗号化が有効になっているアプライアンス ノードがある各サイトにサイト固有の KMS がすでに存在する場合は、デフォルトの KMS を削除できます。

手順

  1. 構成 > セキュリティ > *キー管理サーバー*を選択します。

    キー管理サーバー ページが表示され、構成されているすべてのキー管理サーバーが表示されます。

  2. 削除する KMS を選択し、[アクション] > [削除] を選択します。

    テーブル内の KMS 名を選択し、KMS 詳細ページで 削除 を選択して、KMS を削除することもできます。

  3. 次の点を確認してください。

    • ノード暗号化が有効になっているアプライアンス ノードがないサイトのサイト固有の KMS を削除しています。

    • デフォルトの KMS を削除していますが、ノード暗号化が行われたサイトごとにサイト固有の KMS が既に存在しています。

  4. *はい*を選択してください。

    KMS 構成が削除されます。