在ONTAP 9.6 及更高版本中启用 NVE 的板载密钥管理
建议更改
PDF
您可以使用板载密钥管理器保护集群用于访问加密数据的密钥。您必须在访问加密卷或自加密磁盘的每个集群上启用板载密钥管理器。
您必须运行 security key-manager onboard sync 命令。
如果您使用的是MetroCluster配置、则必须运行 security key-manager onboard enable 命令、然后运行 security key-manager onboard sync 命令、并在每个上使用相同的密码短语。运行时 security key-manager onboard enable 命令、然后在远程集群上同步、则不需要运行 enable 命令。
详细了解 `security key-manager onboard enable`和 `security key-manager onboard sync`在"ONTAP 命令参考"。
默认情况下,重新启动节点时不需要输入密钥管理器密码短语。您可以使用 cc-mode-enabled=yes 选项、要求用户在重新启动后输入密码短语。
对于NVE (如果已设置) cc-mode-enabled=yes、使用创建的卷 volume create 和 volume move start 命令会自动加密。适用于 volume create,则无需指定 -encrypt true。适用于 volume move start,则无需指定 -encrypt-destination true。
在配置ONTAP数据加密时,为了满足商业机密解决方案 (CSfC) 的要求,您必须将 NSE 与 NVE 一起使用,并确保在通用标准模式下启用板载密钥管理器。看"CSFC 解决方案简介"。
|
在通用标准模式下启用板载密钥管理器时 (
|
|
|
板载密钥管理器将密钥存储在易失性存储器中。当系统重新启动或停止时,易失性存储器的内容将被清除。系统停止后 30 秒内清除易失性内存。 |
-
您必须是集群管理员才能执行此任务。
-
在配置板载密钥管理器之前,您必须配置 MetroCluster 环境。
-
启动密钥管理器设置:
security key-manager onboard enable -cc-mode-enabled yes|no
设置
cc-mode-enabled=yes要求用户在重新启动后输入密钥管理器密码短语。对于NVE (如果已设置)cc-mode-enabled=yes、使用创建的卷volume create和volume move start命令会自动加密。。- cc-mode-enabled选项在MetroCluster配置中不受支持。 。security key-manager onboard enable命令用于替换security key-manager setup命令: -
输入一个介于 32 到 256 个字符之间的密码,或者对于“
cc-mode”,输入一个介于 64 到 256 个字符之间的密码。
如果指定的 "`cc-mode` " 密码短语少于 64 个字符,则在密钥管理器设置操作再次显示密码短语提示之前会有五秒的延迟。
-
在密码短语确认提示符处,重新输入密码短语。
-
验证是否已创建身份验证密钥:
security key-manager key query -key-type NSE-AK
`security key-manager key query`命令将取代 `security key-manager query key`命令。
有关的详细信息
security key-manager key query,请参见"ONTAP 命令参考"。 -
您可以选择将纯文本卷转换为加密卷。
volume encryption conversion start转换卷之前、必须完全配置板载密钥管理器。在MetroCluster环境中、必须同时在两个站点上配置板载密钥管理器。
将密码短语复制到存储系统以外的安全位置,以供将来使用。
配置板载密钥管理器密码后,手动将信息备份到存储系统外部的安全位置。看"手动备份板载密钥管理信息"。