ONTAP 9.6以降での外部キー管理の有効化(NVE)

1つ以上のKMIPサーバを使用して、暗号化されたデータにアクセスする際にクラスタで使用するキーを安全に保管できます。ONTAP 9.6以降では、1つ以上のKMIPサーバを使用して、特定のSVMが暗号化されたデータにアクセスする際に使用するキーを安全に保管できます。

開始する前に

タスク概要

1つのクラスタまたはSVMに最大4つのKMIPサーバを接続できます。冗長性とディザスタ リカバリのために少なくとも2つのサーバを使用することを推奨します。

外部キー管理のスコープによって、キー管理サーバの保護対象がクラスタ内の全SVMになるか、選択したSVMのみになるかが決まります。

同じクラスタで両方のスコープを使用できます。1つのSVMに対してキー管理サーバが設定されている場合は、それらのサーバのみを使用してキーが保護されます。そうでない場合は、クラスタに対して設定されたキー管理サーバでキーが保護されます。

オンボード キー管理はクラスタ スコープで設定でき、外部キー管理はSVMスコープで設定できます。security key-manager key migrateコマンドを使用すると、クラスタ スコープのオンボード キー管理からSVMスコープの外部キー管理ツールにキーを移行できます。

手順

  1. クラスタのキー管理ツールの接続を設定します。 security key-manager external enable -vserver admin_SVM -key-servers host_name|IP_address:port,... -client-cert client_certificate -server-ca-cert server_CA_certificates
    注: security key-manager external enableコマンドは、security key-manager setupコマンドに置き換わるものです。このコマンドをクラスタのログイン プロンプトで実行すると、admin_SVMがデフォルトで現在のクラスタの管理SVMに設定されます。

    クラスタ スコープを設定するには、クラスタ管理者である必要があります。外部キー管理の設定を変更するには、security key-manager external modifyコマンドを実行します。

    次のコマンドは、3つの外部キー サーバを指定してcluster1の外部キー管理を有効にします。1つ目のキー サーバはホスト名とポートで指定し、2つ目のキー サーバはIPアドレスとデフォルト ポートで指定し、3つ目のキー サーバはIPv6アドレスとポートで指定します。

    clusterl::> security key-manager external enable -vserver cluster1 -key-servers ks1.local:15696,10.0.0.10,[fd20:8b1e:b255:814e:32bd:f35c:832c:5a09]:1234 -client-cert AdminVserverClientCert -server-ca-certs AdminVserverServerCaCert
  2. SVMのキー管理ツールの接続を設定します。 security key-manager external enable -vserver SVM -key-servers host_name|IP_address:port,... -client-cert client_certificate -server-ca-cert server_CA_certificates
    注: このコマンドをSVMのログイン プロンプトで実行すると、SVMがデフォルトで現在のSVMに設定されます。

    SVMスコープを設定するには、クラスタ管理者またはSVM管理者である必要があります。外部キー管理の設定を変更するには、security key-manager external modifyコマンドを実行します。

    次のコマンドは、デフォルト ポート5696をリスンする1つのキー サーバを指定してsvm1の外部キー管理を有効にします。

    svm1l::> security key-manager external enable -vserver svm1 -key-servers keyserver.svm1.com -client-cert SVM1ClientCert -server-ca-certs SVM1ServerCaCert
  3. 最後の手順をその他のSVMに対して繰り返します。
    注: security key-manager external add serversコマンドを使用してその他のSVMを設定することもできます。security key-manager external add serversコマンドは、 security key-manager addコマンドに置き換わるものです。コマンド構文全体については、マニュアル ページを参照してください。
  4. 設定したすべてのKMIPサーバが接続されていることを確認します。 security key-manager external show-status -node node_name
    注: security key-manager external show-statusコマンドは、 security key-manager show -statusコマンドに置き換わるものです。コマンド構文全体については、マニュアル ページを参照してください。
    cluster1::> security key-manager external show-status
    
    Node  Vserver  Key Server                                     Status
    ----  -------  ---------------------------------------        -------------
    node1
          svm1
                   keyserver.svm1.com:5696                        available
          cluster1
                   10.0.0.10:5696                                 available
                   fd20:8b1e:b255:814e:32bd:f35c:832c:5a09:1234   available
                   ks1.local:15696                                available
    node2
          svm1
                   keyserver.svm1.com:5696                        available
          cluster1
                   10.0.0.10:5696                                 available
                   fd20:8b1e:b255:814e:32bd:f35c:832c:5a09:1234   available
                   ks1.local:15696                                available
    
    8 entries were displayed.