Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Considerações para alterar o KMS de um site

PDFs

Cada servidor de gerenciamento de chaves (KMS) ou cluster KMS fornece uma chave de criptografia para todos os nós do dispositivo em um único site ou em um grupo de sites. Se você precisar alterar qual KMS é usado para um site, talvez seja necessário copiar a chave de criptografia de um KMS para outro.

Se você alterar o KMS usado para um site, deverá garantir que os nós do dispositivo criptografados anteriormente naquele site possam ser descriptografados usando a chave armazenada no novo KMS. Em alguns casos, pode ser necessário copiar a versão atual da chave de criptografia do KMS original para o novo KMS. Você deve garantir que o KMS tenha a chave correta para descriptografar os nós do dispositivo criptografados no site.

Por exemplo:

  1. Inicialmente, você configura um KMS padrão que se aplica a todos os sites que não têm um KMS dedicado.

  2. Quando o KMS é salvo, todos os nós do dispositivo que têm a configuração Criptografia de nó ativada se conectam ao KMS e solicitam a chave de criptografia. Esta chave é usada para criptografar os nós do dispositivo em todos os sites. Essa mesma chave também deve ser usada para descriptografar esses aparelhos.

    Chave padrão do KMS

  3. Você decide adicionar um KMS específico para um site (Data Center 3 na figura). No entanto, como os nós do dispositivo já estão criptografados, ocorre um erro de validação quando você tenta salvar a configuração do KMS específico do site. O erro ocorre porque o KMS específico do site não tem a chave correta para descriptografar os nós naquele site.

    Chave errada do KMS

  4. Para resolver o problema, copie a versão atual da chave de criptografia do KMS padrão para o novo KMS. (Tecnicamente, você copia a chave original para uma nova chave com o mesmo alias. A chave original se torna uma versão anterior da nova chave.) O KMS específico do site agora tem a chave correta para descriptografar os nós do dispositivo no Data Center 3, para que ela possa ser salva no StorageGRID.

    Chave KMS copiada

Casos de uso para alterar qual KMS é usado para um site

A tabela resume as etapas necessárias para os casos mais comuns de alteração do KMS de um site.

Caso de uso para alterar o KMS de um site Etapas necessárias

Você tem uma ou mais entradas KMS específicas do site e deseja usar uma delas como o KMS padrão.

Edite o KMS específico do site. No campo Gerencia chaves para, selecione Sites não gerenciados por outro KMS (KMS padrão). O KMS específico do site agora será usado como o KMS padrão. Ele será aplicado a qualquer site que não tenha um KMS dedicado.

"Editar um servidor de gerenciamento de chaves (KMS)"

Você tem um KMS padrão e adiciona um novo site em uma expansão. Você não quer usar o KMS padrão para o novo site.

  1. Se os nós do dispositivo no novo site já tiverem sido criptografados pelo KMS padrão, use o software KMS para copiar a versão atual da chave de criptografia do KMS padrão para um novo KMS.

  2. Usando o Grid Manager, adicione o novo KMS e selecione o site.

"Adicionar um servidor de gerenciamento de chaves (KMS)"

Você quer que o KMS de um site use um servidor diferente.

  1. Se os nós do dispositivo no site já tiverem sido criptografados pelo KMS existente, use o software KMS para copiar a versão atual da chave de criptografia do KMS existente para o novo KMS.

  2. Usando o Grid Manager, edite a configuração do KMS existente e insira o novo nome do host ou endereço IP.

"Adicionar um servidor de gerenciamento de chaves (KMS)"