EnableEncryptionAtRest

EnableEncryptionAtRestメソッドを使用すると、クラスタの保存データのAdvanced Encryption Standard(AES)256ビット暗号化を有効にできます。これにより、各ノードのドライブで使用される暗号化キーをクラスタで管理できるようになります。この機能は、デフォルトでは有効になっていません。

保存データの暗号化を有効にすると、クラスタ内の各ノードのドライブについて、暗号化キーがクラスタ内部で自動的に管理されます。ノードにはドライブのロックを解除するためのキーは保存されず、キーがネットワークで転送されることはありません。ドライブの暗号化を無効にするには、クラスタに参加している2つのノードがキーにアクセスする必要があります。暗号化管理は、クラスタのパフォーマンスや処理効率には影響しません。APIを使用して暗号化が有効なドライブまたはノードをクラスタから削除すると、保存データの暗号化が無効になり、データは完全消去されません。SecureEraseDrives APIメソッドを使用すると、データを完全消去できます。

keyProviderIDを指定すると、キー プロバイダのタイプに応じてパスワードが生成され、取得されます。KMIPキー プロバイダの場合は、通常Key Management Interoperability Protocol(KMIP)キー サーバが使用されます。この処理の実行後、指定したプロバイダはアクティブとみなされ、DisableEncryptionAtRestメソッドを使用して保存データの暗号化が無効にされるまで削除できません。

注: モデル番号が「-NE」で終わるノード タイプでは、EnableEncryptionAtRestメソッド呼び出しが 「Encryption not allowed. Cluster detected non-encryptable node.」という応答で失敗します。
注: 暗号化を有効または無効にできるのは、クラスタが正常な状態で稼働している場合のみです。必要に応じて何度でも暗号化を有効または無効にできます。
注: このプロセスは非同期で、暗号化が有効になる前に応答を返します。GetClusterInfoメソッドを使用すると、システムをポーリングしてプロセスがいつ完了したかを確認できます。

パラメータ

このメソッドの入力パラメータは次のとおりです。

名前 説明 タイプ デフォルト値 必須
keyProviderID 使用するKMIPキー プロバイダのID。 整数 なし ×

戻り値

このメソッドには戻り値はありません。

要求例

このメソッドの要求例を次に示します。

{
   "method": "EnableEncryptionAtRest",
   "params": {},
   "id": 1
}

応答例

EnableEncryptionAtRestメソッドの応答例を次に示します。結果は報告されません。

{
   "id": 1,
   "result": {}
}

クラスタで保存データの暗号化を有効にする処理を実行しているときにGetClusterInfoを実行すると、保存データの暗号化の状態(「encryptionAtRestState」)は「enabling」と出力されます。保存データの暗号化の有効化が完了すると、返される状態は「enabled」に変わります。

{
   "id": 1,
      "result": {
         "clusterInfo": {
            "attributes": { },
               "encryptionAtRestState": "enabling",
            "ensemble": [
               "10.10.5.94",
               "10.10.5.107",
               "10.10.5.108"
            ],
            "mvip": "192.168.138.209",
            "mvipNodeID": 1,
            "name": "Marshall",
            "repCount": 2,
            "svip": "10.10.7.209",
            "svipNodeID": 1,
            "uniqueID": "91dt"
      }
   }
}

新規導入バージョン

9.6