將FIPS磁碟機或SED恢復為無保護模式
建議變更
PDF
僅當節點的驗證金鑰ID設為預設值以外的值時、FIPS磁碟機或SED才會受到保護、不受未獲授權的存取。您可以使用將 FIPS 磁碟機或 SED 恢復為未受保護模式 storage encryption disk modify 將金鑰 ID 設為預設值的命令。
如果HA配對使用加密SAS或NVMe磁碟機(SED、NSE、FIPS)、則在初始化系統之前、您必須針對HA配對內的所有磁碟機(開機選項4或9)執行此程序。如果未這麼做、可能會在磁碟機重新調整用途時、導致未來的資料遺失。
您必須是叢集管理員才能執行此工作。
-
將權限層級設為進階:
set -privilege advanced -
如果FIPS磁碟機以FIPS相容模式執行、請將節點的FIPS驗證金鑰ID設回預設的MSID 0x0:
storage encryption disk modify -disk disk_id -fips-key-id 0x0您可以使用
security key-manager query檢視金鑰ID的命令。cluster1::> storage encryption disk modify -disk 2.10.11 -fips-key-id 0x0 Info: Starting modify on 14 disks. View the status of the operation by using the storage encryption disk show-status command.使用以下命令確認作業成功:
storage encryption disk show-status重複執行show-STATUS命令、直到「磁碟已開始」和「磁碟已完成」中的數字相同為止。
cluster1:: storage encryption disk show-status FIPS Latest Start Execution Disks Disks Disks Node Support Request Timestamp Time (sec) Begun Done Successful ------- ------- -------- ------------------ ---------- ------ ------ ---------- cluster1 true modify 1/18/2022 15:29:38 3 14 5 5 1 entry was displayed. -
將節點的資料驗證金鑰ID設回預設的MSID 0x0:
storage encryption disk modify -disk disk_id -data-key-id 0x0的價值
-data-key-id無論您要將 SAS 或 NVMe 磁碟機恢復為未受保護模式、都應該設定為 0x0 。您可以使用
security key-manager query檢視金鑰ID的命令。cluster1::> storage encryption disk modify -disk 2.10.11 -data-key-id 0x0 Info: Starting modify on 14 disks. View the status of the operation by using the storage encryption disk show-status command.使用以下命令確認作業成功:
storage encryption disk show-status重複執行show-STATUS命令、直到數字相同為止。當「磁碟已開始」和「磁碟已完成」中的數字相同時、作業即告完成。
維護模式
從支援功能9.7開始ONTAP 、您可以從維護模式重新輸入FIPS磁碟機的金鑰。只有在ONTAP 無法使用上一節中的指令時、才應使用維護模式。
-
將節點的FIPS驗證金鑰ID設回預設的MSID 0x0:
disk encrypt rekey_fips 0x0 disklist -
將節點的資料驗證金鑰ID設回預設的MSID 0x0:
disk encrypt rekey 0x0 disklist -
確認FIPS驗證金鑰已成功重新輸入:
disk encrypt show_fips -
確認資料驗證金鑰已成功重新輸入:
disk encrypt show您的輸出可能會顯示預設的MSID 0x0金鑰ID或金鑰伺服器所保留的64個字元值。。
Locked?欄位是指資料鎖定。
Disk FIPS Key ID Locked? ---------- --------------------------- ------- 0a.01.0 0x0 Yes