Habilite o gerenciamento de chaves integradas no ONTAP 9.5 e versões anteriores (NVE)
Você pode usar o Gerenciador de chaves integrado para proteger as chaves que o cluster usa para acessar dados criptografados. É necessário habilitar o Gerenciador de chaves integrado em cada cluster que acessa um volume criptografado ou um disco com autocriptografia.
Você deve executar o security key-manager setup
comando sempre que adicionar um nó ao cluster.
Se você tiver uma configuração do MetroCluster, revise estas diretrizes:
-
No ONTAP 9.5, você deve executar
security key-manager setup
no cluster local esecurity key-manager setup -sync-metrocluster-config yes
no cluster remoto, usando a mesma senha em cada um. -
Antes do ONTAP 9.5, você deve executar
security key-manager setup
no cluster local, esperar aproximadamente 20 segundos e, em seguida, executarsecurity key-manager setup
no cluster remoto, usando a mesma senha em cada um.
Por padrão, você não é obrigado a inserir a senha do gerenciador de chaves quando um nó é reinicializado. A partir do ONTAP 9.4, pode utilizar a -enable-cc-mode yes
opção para exigir que os utilizadores introduzam a frase-passe após uma reinicialização.
Para NVE, se você definir -enable-cc-mode yes`o , os volumes criados com os `volume create
comandos e volume move start
serão criptografados automaticamente. Para volume create
, não é necessário especificar -encrypt true
. Para volume move start
, não é necessário especificar -encrypt-destination true
.
Depois de uma tentativa de frase-passe com falha, tem de reiniciar o nó novamente. |
-
Se você estiver usando o NSE ou o NVE com um servidor de gerenciamento de chaves externo (KMIP), exclua o banco de dados do gerenciador de chaves externo.
-
Você deve ser um administrador de cluster para executar esta tarefa.
-
Você deve configurar o ambiente MetroCluster antes de configurar o Gerenciador de chaves integrado.
-
Inicie a configuração do gerenciador de chaves:
security key-manager setup -enable-cc-mode yes|no
A partir do ONTAP 9.4, pode utilizar a
-enable-cc-mode yes
opção para exigir que os utilizadores introduzam a frase-passe do gestor de chaves após uma reinicialização. Para NVE, se você definir-enable-cc-mode yes`o , os volumes criados com os `volume create
comandos evolume move start
serão criptografados automaticamente.O exemplo a seguir inicia a configuração do gerenciador de chaves no cluster1 sem exigir que a senha seja inserida após cada reinicialização:
cluster1::> security key-manager setup Welcome to the key manager setup wizard, which will lead you through the steps to add boot information. ... Would you like to use onboard key-management? {yes, no} [yes]: Enter the cluster-wide passphrase: <32..256 ASCII characters long text> Reenter the cluster-wide passphrase: <32..256 ASCII characters long text>
-
Digite
yes
no prompt para configurar o gerenciamento de chaves integradas. -
No prompt de frase-passe, insira uma frase-passe entre 32 e 256 carateres ou, para "cc-mode", uma frase-passe entre 64 e 256 carateres.
Se a senha "'cc-mode'" especificada for inferior a 64 carateres, haverá um atraso de cinco segundos antes que a operação de configuração do gerenciador de chaves exiba o prompt de senha novamente.
-
No prompt de confirmação da senha, redigite a senha.
-
Verifique se as chaves estão configuradas para todos os nós:
security key-manager key show
Para obter a sintaxe completa do comando, consulte a página man.
cluster1::> security key-manager key show Node: node1 Key Store: onboard Key ID Used By ---------------------------------------------------------------- -------- 0000000000000000020000000000010059851742AF2703FC91369B7DB47C4722 NSE-AK 000000000000000002000000000001008C07CC0AF1EF49E0105300EFC83004BF NSE-AK Node: node2 Key Store: onboard Key ID Used By ---------------------------------------------------------------- -------- 0000000000000000020000000000010059851742AF2703FC91369B7DB47C4722 NSE-AK 000000000000000002000000000001008C07CC0AF1EF49E0105300EFC83004BF NSE-AK
-
Opcionalmente, converta volumes de texto simples em volumes criptografados.
volume encryption conversion start
O Gerenciador de chaves integrado deve estar totalmente configurado antes de converter os volumes. Em um ambiente MetroCluster, o Gerenciador de chaves integrado deve ser configurado em ambos os sites.
Copie a senha para um local seguro fora do sistema de armazenamento para uso futuro.
Sempre que você configurar a senha do Gerenciador de chaves integrado, você também deve fazer backup das informações manualmente para um local seguro fora do sistema de armazenamento para uso em caso de desastre. "Faça backup manual das informações de gerenciamento de chaves integradas"Consulte .