Habilitar o gerenciamento de chaves integrado para NVE no ONTAP 9.5 e versões anteriores
Sugerir alterações
PDFs
Você pode usar o Gerenciador de chaves integrado para proteger as chaves que o cluster usa para acessar dados criptografados. É necessário habilitar o Gerenciador de chaves integrado em cada cluster que acessa um volume criptografado ou um disco com autocriptografia.
Você deve executar o security key-manager setup comando sempre que adicionar um nó ao cluster.
Se você tiver uma configuração do MetroCluster, revise estas diretrizes:
-
No ONTAP 9.5, você deve executar
security key-manager setupno cluster local esecurity key-manager setup -sync-metrocluster-config yesno cluster remoto, usando a mesma senha em cada um. -
Antes do ONTAP 9.5, você deve executar
security key-manager setupno cluster local, esperar aproximadamente 20 segundos e, em seguida, executarsecurity key-manager setupno cluster remoto, usando a mesma senha em cada um.
Por padrão, você não é obrigado a inserir a senha do gerenciador de chaves quando um nó é reinicializado. A partir do ONTAP 9.4, pode utilizar a -enable-cc-mode yes opção para exigir que os utilizadores introduzam a frase-passe após uma reinicialização.
Para NVE, se você definir -enable-cc-mode yes`o , os volumes criados com os `volume create comandos e volume move start serão criptografados automaticamente. Para volume create, não é necessário especificar -encrypt true. Para volume move start, não é necessário especificar -encrypt-destination true.
|
Depois de uma tentativa de frase-passe com falha, tem de reiniciar o nó novamente. |
-
Se você usar NSE ou NVE com um servidor de gerenciamento de chaves externas (KMIP), exclua o banco de dados do gerenciador de chaves externas.
-
Você deve ser um administrador de cluster para executar esta tarefa.
-
Configure o ambiente MetroCluster antes de configurar o Onboard Key Manager.
-
Inicie a configuração do gerenciador de chaves:
security key-manager setup -enable-cc-mode yes|no
A partir do ONTAP 9.4, pode utilizar a
-enable-cc-mode yesopção para exigir que os utilizadores introduzam a frase-passe do gestor de chaves após uma reinicialização. Para NVE, se você definir-enable-cc-mode yes`o , os volumes criados com os `volume createcomandos evolume move startserão criptografados automaticamente.O exemplo a seguir inicia a configuração do gerenciador de chaves no cluster1 sem exigir que a senha seja inserida após cada reinicialização:
cluster1::> security key-manager setup Welcome to the key manager setup wizard, which will lead you through the steps to add boot information. ... Would you like to use onboard key-management? {yes, no} [yes]: Enter the cluster-wide passphrase: <32..256 ASCII characters long text> Reenter the cluster-wide passphrase: <32..256 ASCII characters long text> -
Digite
yesno prompt para configurar o gerenciamento de chaves integradas. -
No prompt de frase-passe, insira uma frase-passe entre 32 e 256 carateres ou, para "cc-mode", uma frase-passe entre 64 e 256 carateres.
Se a senha "'cc-mode'" especificada for inferior a 64 carateres, haverá um atraso de cinco segundos antes que a operação de configuração do gerenciador de chaves exiba o prompt de senha novamente.
-
No prompt de confirmação da senha, redigite a senha.
-
Verifique se as chaves estão configuradas para todos os nós:
security key-manager show-key-storecluster1::> security key-manager show-key-store Node: node1 Key Store: onboard Key ID Used By ---------------------------------------------------------------- -------- <id_value> NSE-AK <id_value> NSE-AK Node: node2 Key Store: onboard Key ID Used By ---------------------------------------------------------------- -------- <id_value> NSE-AK <id_value> NSE-AK
Saiba mais sobre
security key-manager show-key-storeno"Referência do comando ONTAP" . -
Opcionalmente, converta volumes de texto simples em volumes criptografados.
volume encryption conversion startConfigure o Onboard Key Manager antes de converter volumes. Em ambientes MetroCluster , configure-o em ambos os sites.
Copie a senha para um local seguro fora do sistema de armazenamento para uso futuro.
Ao configurar a senha do Onboard Key Manager, faça backup das informações em um local seguro fora do sistema de armazenamento, em caso de desastre. Ver"Faça backup manual das informações de gerenciamento de chaves integradas" .