volume encryption rekey startコマンドを使用したボリュームの暗号化キーの変更

セキュリティのベストプラクティスとして、ボリュームの暗号化キーを定期的に変更することが重要です。ONTAP 9.3以降では、volume encryption rekey startコマンドを使用して暗号化キーを変更できます。

タスク概要

キー変更処理を開始したら、最後まで完了する必要があります。古いキーに戻ることはありません。処理中にパフォーマンスの問題が発生した場合は、volume encryption rekey pauseコマンドを実行して処理を一時停止し、volume encryption rekey resumeコマンドを実行して処理を再開できます。

キー変更処理が完了するまで、ボリュームには2つのキーが存在することになります。新しい書き込みとそれに対応する読み取りでは、新しいキーが使用されます。それ以外の読み取りでは、古いキーが使用されます。

注: SnapLockボリュームのキーの変更にはvolume encryption rekey startは使用できません。

手順

  1. 暗号化キーを変更します。volume encryption rekey start -vserver SVM_name -volume volume_name

    次のコマンドは、SVM vs1vol1の暗号化キーを変更します。

    cluster1::> volume encryption rekey start -vserver vs1 -volume vol1
  2. キー変更処理のステータスを確認します。volume encryption rekey show
    完全なコマンド構文については、コマンドのマニュアル ページを参照してください。

    次のコマンドは、キー変更処理のステータスを表示します。

    cluster1::> volume encryption rekey show
    
    Vserver   Volume   Start Time           Status
    -------   ------   ------------------   ---------------------------
    vs1       vol1     9/18/2017 17:51:41   Phase 2 of 2 is in progress.
  3. キー変更処理が完了したら、ボリュームで暗号化が有効になっていることを確認します。volume show -is-encrypted true
    完全なコマンド構文については、コマンドのマニュアル ページを参照してください。

    次のコマンドは、cluster1の暗号化されたボリュームを表示します。

    cluster1::> volume show -is-encrypted true
    
    Vserver  Volume  Aggregate  State  Type  Size  Available  Used
    -------  ------  ---------  -----  ----  -----  --------- ----
    vs1      vol1    aggr2     online    RW  200GB    160.0GB  20%