キー管理サーバ( KMS )を追加する
StorageGRID キー管理サーバウィザードを使用して、各 KMS または KMS クラスタを追加します。
-
を確認しておきます"キー管理サーバを使用する際の考慮事項と要件"。
-
"KMS でクライアントとして StorageGRID を設定"各KMSまたはKMSクラスタに必要な情報を確認しておきます。
-
Grid Managerにサインインしておきます"サポートされている Web ブラウザ"。
-
あなたはを持っています"rootアクセス権限"。
可能環境 であれば、サイト固有のキー管理サーバを設定してから、別の KMS で管理されていないデフォルトの KMS を設定してください。最初にデフォルトの KMS を作成すると、グリッド内のノードで暗号化されたすべてのアプライアンスがデフォルトの KMS で暗号化されます。サイト固有の KMS をあとで作成するには、まず、暗号化キーの現在のバージョンをデフォルトの KMS から新しい KMS にコピーする必要があります。詳細は、を参照してください "サイトの KMS を変更する際の考慮事項" 。
ステップ1:KMSの詳細
キー管理サーバの追加ウィザードの手順1(KMSの詳細)で、KMSまたはKMSクラスタの詳細を指定します。
-
設定 * > * セキュリティ * > * キー管理サーバ * を選択します。
[設定の詳細]タブが選択された状態で、[キー管理サーバ]ページが表示されます。
-
「 * Create * 」を選択します。
キー管理サーバの追加ウィザードの手順1(KMSの詳細)が表示されます。
-
KMS および設定した StorageGRID クライアントの情報を KMS で入力します。
フィールド 製品説明 KMS名
この KMS を特定するのに役立つわかりやすい名前。1~64 文字で指定する必要があります。
キー名
KMS 内の StorageGRID クライアントの正確なキーエイリアス。1~255 文字で指定する必要があります。
注: KMS製品を使用してキーを作成していない場合は、StorageGRIDでキーを作成するように要求されます。
のキーを管理します
この KMS に関連する StorageGRID サイトを参照してください。可能であれば、サイト固有のキー管理サーバを設定してから、環境 で他の KMS で管理されていないすべてのサイトをデフォルトの KMS で設定する必要があります。
-
特定のサイトのアプライアンスノードの暗号化キーをこの KMS で管理する場合は、サイトを選択します。
-
専用のKMSを持たないサイトや、その後の拡張で追加するサイトに適用されるデフォルトKMSを設定するには、*[別のKMSで管理されていないサイト(デフォルトKMS)]*を選択します。
-
注: * 以前にデフォルト KMS で暗号化されていたサイトを選択しても、新しい KMS に元の暗号化キーの現在のバージョンを提供しなかった場合、 KMS の設定を保存すると、検証エラーが発生します。
-
ポート
KMS サーバが Key Management Interoperability Protocol ( KMIP )の通信に使用するポート。デフォルトでは、 KMIP 標準ポートである 5696 が使用されます。
ホスト名
KMS の完全修飾ドメイン名または IP アドレス。
*注:*サーバ証明書のSubject Alternative Name(SAN)フィールドには、ここに入力するFQDNまたはIPアドレスが含まれている必要があります。そうしないと、 StorageGRID は KMS クラスタ内のすべてのサーバに接続できなくなります。
-
-
KMSクラスタを構成する場合は、*[別のホスト名を追加]*を選択して、クラスタ内の各サーバのホスト名を追加します。
-
「 * Continue * 」を選択します。
手順2:サーバー証明書をアップロードします
キー管理サーバの追加ウィザードの手順2(サーバ証明書をアップロード)で、KMSのサーバ証明書(または証明書バンドル)をアップロードします。サーバ証明書を使用すると、外部 KMS は StorageGRID に対して自身を認証できます。
-
[手順2(サーバ証明書のアップロード)]*で、保存されているサーバ証明書または証明書バンドルの場所を参照します。
-
証明書ファイルをアップロードします。
サーバ証明書のメタデータが表示されます。
証明書バンドルをアップロードした場合は、各証明書のメタデータが独自のタブに表示されます。 -
「 * Continue * 」を選択します。
手順3:クライアント証明書をアップロードする
キー管理サーバの追加ウィザードの手順3(クライアント証明書のアップロード)で、クライアント証明書とクライアント証明書の秘密鍵をアップロードします。クライアント証明書は、 StorageGRID が KMS に対して自身を認証することを許可します。
-
ステップ3(クライアント証明書のアップロード)*で、クライアント証明書の場所を参照します。
-
クライアント証明書ファイルをアップロードします。
クライアント証明書のメタデータが表示されます。
-
クライアント証明書の秘密鍵の場所を参照します。
-
秘密鍵ファイルをアップロードします。
-
[テストして保存]*を選択します。
キーが存在しない場合は、StorageGRIDでキーを作成するように求めるメッセージが表示されます。
キー管理サーバとアプライアンスノードの間の接続をテストします。すべての接続が有効で、正しいキーが KMS にある場合は、新しいキー管理サーバが Key Management Server ページの表に追加されます。
KMS を追加すると、すぐに [Key Management Server] ページの証明書ステータスが [Unknown (不明) ] と表示されます。各証明書の実際のステータスの StorageGRID 取得には 30 分程度かかる場合があります。最新のステータスを表示するには、 Web ブラウザの表示を更新する必要があります。 -
を選択したときにエラーメッセージが表示された場合は、メッセージの詳細を確認し、[OK]*を選択します。
たとえば、接続テストに失敗した場合は、 422 : Unprocessable Entity エラーが返されることがあります。
-
外部接続をテストせずに現在の設定を保存する必要がある場合は、*[強制保存]*を選択します。
[Force save]*を選択すると、KMSの構成が保存されますが、各アプライアンスからそのKMSへの外部接続はテストされません。構成を含む問題 がある場合、該当するサイトでノード暗号化が有効になっているアプライアンスノードをリブートできない可能性があります。問題が解決するまでデータにアクセスできなくなる可能性があります。 -
確認の警告を確認し、設定を強制的に保存する場合は、「 * OK 」を選択します。
KMS の設定は保存されますが、 KMS への接続はテストされません。