Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Habilite o gerenciamento de chaves integradas no ONTAP 9.5 e versões anteriores

Colaboradores

Você pode usar o Gerenciador de chaves integrado para autenticar nós de cluster em uma unidade FIPS ou SED. O Gerenciador de chaves integrado é uma ferramenta integrada que serve chaves de autenticação para nós do mesmo sistema de storage que seus dados. O Gerenciador de chaves integrado é compatível com FIPS-140-2 nível 1.

Você pode usar o Gerenciador de chaves integrado para proteger as chaves que o cluster usa para acessar dados criptografados. É necessário habilitar o Gerenciador de chaves integrado em cada cluster que acessa um volume criptografado ou um disco com autocriptografia.

Sobre esta tarefa

Você deve executar o security key-manager setup comando sempre que adicionar um nó ao cluster.

Se você tiver uma configuração do MetroCluster, revise estas diretrizes:

  • No ONTAP 9.5, você deve executar security key-manager setup no cluster local e security key-manager setup -sync-metrocluster-config yes no cluster remoto, usando a mesma senha em cada um.

  • Antes do ONTAP 9.5, você deve executar security key-manager setup no cluster local, esperar aproximadamente 20 segundos e, em seguida, executar security key-manager setup no cluster remoto, usando a mesma senha em cada um.

Por padrão, você não é obrigado a inserir a senha do gerenciador de chaves quando um nó é reinicializado. A partir do ONTAP 9.4, pode utilizar a -enable-cc-mode yes opção para exigir que os utilizadores introduzam a frase-passe após uma reinicialização.

Para NVE, se você definir -enable-cc-mode yes`o , os volumes criados com os `volume create comandos e volume move start serão criptografados automaticamente. Para volume create, não é necessário especificar -encrypt true. Para volume move start, não é necessário especificar -encrypt-destination true.

Observação Depois de uma tentativa de frase-passe com falha, tem de reiniciar o nó novamente.
Antes de começar
Passos
  1. Inicie a configuração do gerenciador de chaves:

    security key-manager setup -enable-cc-mode yes|no

    Observação A partir do ONTAP 9.4, pode utilizar a -enable-cc-mode yes opção para exigir que os utilizadores introduzam a frase-passe do gestor de chaves após uma reinicialização. Para NVE, se você definir -enable-cc-mode yes`o , os volumes criados com os `volume create comandos e volume move start serão criptografados automaticamente.

    O exemplo a seguir inicia a configuração do gerenciador de chaves no cluster1 sem exigir que a senha seja inserida após cada reinicialização:

    cluster1::> security key-manager setup
    Welcome to the key manager setup wizard, which will lead you through
    the steps to add boot information.
    
    ...
    
    Would you like to use onboard key-management? {yes, no} [yes]:
    Enter the cluster-wide passphrase:    <32..256 ASCII characters long text>
    Reenter the cluster-wide passphrase:    <32..256 ASCII characters long text>
  2. Digite yes no prompt para configurar o gerenciamento de chaves integradas.

  3. No prompt de frase-passe, insira uma frase-passe entre 32 e 256 carateres ou, para "cc-mode", uma frase-passe entre 64 e 256 carateres.

    Observação Se a senha "'cc-mode'" especificada for inferior a 64 carateres, haverá um atraso de cinco segundos antes que a operação de configuração do gerenciador de chaves exiba o prompt de senha novamente.
  4. No prompt de confirmação da senha, redigite a senha.

  5. Verifique se as chaves estão configuradas para todos os nós:

    security key-manager key show

    Para obter a sintaxe completa do comando, consulte a página man.

    cluster1::> security key-manager key show
    
    Node: node1
    Key Store: onboard
    Key ID                                                           Used By
    ---------------------------------------------------------------- --------
    0000000000000000020000000000010059851742AF2703FC91369B7DB47C4722 NSE-AK
    000000000000000002000000000001008C07CC0AF1EF49E0105300EFC83004BF NSE-AK
    
    Node: node2
    Key Store: onboard
    Key ID                                                           Used By
    ---------------------------------------------------------------- --------
    0000000000000000020000000000010059851742AF2703FC91369B7DB47C4722 NSE-AK
    000000000000000002000000000001008C07CC0AF1EF49E0105300EFC83004BF NSE-AK
Depois de terminar

Todas as informações de gerenciamento de chaves são automaticamente armazenadas no banco de dados replicado (RDB) para o cluster.

Sempre que você configurar a senha do Gerenciador de chaves integrado, você também deve fazer backup das informações manualmente para um local seguro fora do sistema de armazenamento para uso em caso de desastre. "Faça backup manual das informações de gerenciamento de chaves integradas"Consulte .