ONTAP 9.5以前でのオンボード キー管理の有効化

オンボード キー マネージャを使用して、暗号化されたデータにアクセスする際にクラスタで使用するキーを安全に保管できます。オンボード キー マネージャは、暗号化されたボリュームや自己暗号化ディスクにアクセスする各クラスタで有効にする必要があります。

開始する前に

タスク概要

security key-manager setupコマンドはクラスタにノードを追加するたびに実行する必要があります。MetroCluster構成では、security key-manager setupを先にローカル クラスタで実行してからリモート クラスタで実行し、それぞれで同じパスフレーズを使用する必要があります。ONTAP 9.5以降では、security key-manager setupsecurity key-manager setup -sync-metrocluster-config yesをローカル クラスタで実行する必要があります。これにより、リモート クラスタと同期されます。

デフォルトでは、ノードのリブート時にキー管理ツールのパスフレーズを入力する必要はありません。ONTAP 9.4以降では、-enable-cc-mode yesオプションを使用して、リブート後にユーザにパスフレーズの入力を求めるように設定できます。

NVEの場合、-enable-cc-mode yesを設定すると、volume createコマンドとvolume move startコマンドで作成したボリュームが自動的に暗号化されます。volume createでは、-encrypt trueを指定する必要はありません。volume move startでは、-encrypt-destination trueを指定する必要はありません。

注: パスフレーズの入力に失敗した場合、ノードを起動し直す必要があります。

手順

  1. キー管理ツール セットアップ ウィザードを起動します。security key-manager setup -enable-cc-mode yes|no
    注: ONTAP 9.4以降では、-enable-cc-mode yesオプションを使用して、リブート後にユーザにキー管理ツールのパスフレーズの入力を求めるように設定できます。NVEの場合、-enable-cc-mode yesを設定すると、volume createコマンドとvolume move startコマンドで作成したボリュームが自動的に暗号化されます。

    次の例では、リブートのたびにパスフレーズの入力を求めずに、cluster1でキー管理ツール セットアップ ウィザードを起動します。

    cluster1::> security key-manager setup
    Welcome to the key manager setup wizard, which will lead you through
    the steps to add boot information.
    
    ...
    
    Would you like to use onboard key-management? {yes, no} [yes]: 
    Enter the cluster-wide passphrase:    <32..256 ASCII characters long text>
    Reenter the cluster-wide passphrase:    <32..256 ASCII characters long text>
    
  2. オンボード キー管理を設定するかどうかを確認するプロンプトで「yes」と入力します。
  3. パスフレーズのプロンプトで32~256文字のパスフレーズを入力します。cc-modeの場合は64~256文字のパスフレーズを入力します。
    注: 指定したcc-modeのパスフレーズが64文字未満の場合、5秒後にキー管理ツール セットアップ ウィザードでパスフレーズのプロンプトが再度表示されます。
  4. パスフレーズの確認のプロンプトでパスフレーズをもう一度入力します。
  5. キーがすべてのノードに設定されていることを確認します。security key-manager key show
    コマンド構文全体については、マニュアル ページを参照してください。
    cluster1::> security key-manager key show
    
    Node: node1
    Key Store: onboard
    Key ID                                                           Used By
    ---------------------------------------------------------------- --------
    0000000000000000020000000000010059851742AF2703FC91369B7DB47C4722 NSE-AK
    000000000000000002000000000001008C07CC0AF1EF49E0105300EFC83004BF NSE-AK
    
    Node: node2
    Key Store: onboard
    Key ID                                                           Used By
    ---------------------------------------------------------------- --------
    0000000000000000020000000000010059851742AF2703FC91369B7DB47C4722 NSE-AK
    000000000000000002000000000001008C07CC0AF1EF49E0105300EFC83004BF NSE-AK
    

終了後の操作

あとで使用できるように、ストレージ システムの外部の安全な場所にパスフレーズをコピーしておきます。

キー管理情報は、クラスタのReplicated Database(RDB;複製データベース)にすべて自動的にバックアップされます。災害時に備えて、情報を手動でもバックアップしておく必要があります。