KMSとアプライアンスの構成
変更を提案
PDF
キー管理サーバー (KMS) を使用してアプライアンス ノード上のStorageGRIDデータを保護する前に、1 つ以上の KMS サーバーを設定し、アプライアンス ノードのノード暗号化を有効にするという 2 つの構成タスクを完了する必要があります。これら 2 つの構成タスクが完了すると、キー管理プロセスが自動的に実行されます。
このフローチャートは、KMS を使用してアプライアンス ノード上のStorageGRIDデータを保護するための大まかな手順を示しています。
フローチャートでは、KMS セットアップとアプライアンス セットアップが並行して行われていることを示しています。ただし、要件に応じて、新しいアプライアンス ノードのノード暗号化を有効にする前または後に、キー管理サーバーをセットアップできます。
キー管理サーバー(KMS)をセットアップする
キー管理サーバーの設定には、次の大まかな手順が含まれます。
| 手順 | 参照 |
|---|---|
KMS ソフトウェアにアクセスし、各 KMS または KMS クラスターにStorageGRIDのクライアントを追加します。 |
|
KMS 上のStorageGRIDクライアントに必要な情報を取得します。 |
|
KMS を Grid Manager に追加し、単一のサイトまたはデフォルトのサイト グループに割り当て、必要な証明書をアップロードして、KMS 構成を保存します。 |
アプライアンスのセットアップ
KMS を使用するためにアプライアンス ノードを設定するには、次の大まかな手順が含まれます。
-
アプライアンスのインストールのハードウェア構成段階で、 StorageGRIDアプライアンス インストーラを使用して、アプライアンスの ノード暗号化 設定を有効にします。
アプライアンスをグリッドに追加された後は、*ノード暗号化*設定を有効にすることはできません。また、ノード暗号化が有効になっていないアプライアンスでは外部キー管理を使用することはできません。 -
StorageGRIDアプライアンス インストーラを実行します。インストール中に、次のようにランダム データ暗号化キー (DEK) が各アプライアンス ボリュームに割り当てられます。
-
DEK は各ボリューム上のデータを暗号化するために使用されます。これらのキーは、アプライアンス OS の Linux Unified Key Setup (LUKS) ディスク暗号化を使用して生成され、変更できません。
-
個々の DEK は、マスター キー暗号化キー (KEK) によって暗号化されます。初期 KEK は、アプライアンスが KMS に接続できるようになるまで DEK を暗号化する一時的なキーです。
-
-
アプライアンス ノードをStorageGRIDに追加します。
見る "ノード暗号化を有効にする"詳細については。
キー管理暗号化プロセス(自動的に実行)
キー管理暗号化には、自動的に実行される次の高レベルの手順が含まれます。
-
ノード暗号化が有効になっているアプライアンスをグリッドにインストールすると、 StorageGRID は新しいノードを含むサイトに KMS 構成が存在するかどうかを判断します。
-
サイトに KMS がすでに構成されている場合、アプライアンスは KMS 構成を受け取ります。
-
サイトに KMS がまだ構成されていない場合は、サイトに KMS が構成され、アプライアンスが KMS 構成を受信するまで、アプライアンス上のデータは一時的な KEK によって暗号化され続けます。
-
-
アプライアンスは KMS 構成を使用して KMS に接続し、暗号化キーを要求します。
-
KMS はアプライアンスに暗号化キーを送信します。 KMS からの新しいキーは一時的な KEK に置き換えられ、アプライアンス ボリュームの DEK の暗号化と復号化に使用されるようになりました。
暗号化されたアプライアンス ノードが構成された KMS に接続する前に存在するすべてのデータは、一時キーで暗号化されます。ただし、一時キーが KMS 暗号化キーに置き換えられるまで、アプライアンス ボリュームはデータ センターからの削除から保護されているとは見なされません。 -
アプライアンスの電源がオンになったり再起動したりすると、KMS に再接続してキーを要求します。揮発性メモリに保存されるキーは、電源喪失や再起動により失われます。