ONTAP 9.6以降での認証キーの作成

security key-manager key createコマンドを使用して、ノードの認証キーを作成し、設定済みのKMIPサーバに格納できます。

開始する前に

このタスクを実行するには、クラスタ管理者である必要があります。

タスク概要

セキュリティの設定によりデータ認証とFIPS 140-2認証に異なるキーを使用する必要がある場合は、それぞれの認証用のキーを作成する必要があります。そうでない場合は、FIPS準拠の認証キーをデータ アクセスにも使用できます。

ONTAPでは、クラスタ内のすべてのノードについて認証キーが作成されます。

手順

  1. クラスタ ノードの認証キーを作成します。security key-manager key create -key-tag passphrase_label -prompt-for-key true|false
    注: prompt-for-key=trueを設定すると、暗号化されたドライブを認証する際にクラスタ管理者に対して使用するパスフレーズの入力が要求されます。設定しない場合は、32バイトのパスフレーズが自動的に生成されます。

    security key-manager key createコマンドは、security key-manager create-keyコマンドに置き換わるものです。コマンド構文全体については、マニュアル ページを参照してください。

    次の例では、cluster1の認証キーを作成し、32バイトのパスフレーズを自動的に生成します。

    cluster1::> security key-manager key create
    Key ID: 000000000000000002000000000001006268333f870860128fbe17d393e5083b0000000000000000
  2. 認証キーが作成されたことを確認します。security key-manager key query -node node
    注: security key-manager key queryコマンドは、security key-manager query keyコマンドに置き換わるものです。コマンド構文全体については、マニュアル ページを参照してください。

    出力に表示されるキーIDは、認証キーへの参照として使用する識別子です。実際の認証キーまたはデータ暗号化キーではありません。

    次の例では、cluster1の認証キーが作成されたことを検証します。

    cluster1::> security key-manager key query
           Vserver: cluster1
       Key Manager: external
              Node: node1
    
    Key Tag                               Key Type  Restored
    ------------------------------------  --------  --------
    node1                                 NSE-AK    yes
        Key ID: 000000000000000002000000000001000c11b3863f78c2273343d7ec5a67762e0000000000000000
    node1                                 NSE-AK    yes
        Key ID: 000000000000000002000000000001006f4e2513353a674305872a4c9f3bf7970000000000000000
    
           Vserver: cluster1
       Key Manager: external
              Node: node2 
    
    Key Tag                               Key Type  Restored
    ------------------------------------  --------  --------
    node2                                 NSE-AK    yes
        Key ID: 000000000000000002000000000001000c11b3863f78c2273343d7ec5a67762e0000000000000000
    node2                                 NSE-AK    yes
        Key ID: 000000000000000002000000000001006f4e2513353a674305872a4c9f3bf7970000000000000000