Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

將FIPS磁碟機或SED恢復為無保護模式

貢獻者
PDF

僅當節點的驗證金鑰ID設為預設值以外的值時、FIPS磁碟機或SED才會受到保護、不受未獲授權的存取。您可以使用將 FIPS 磁碟機或 SED 恢復為未受保護模式 storage encryption disk modify 將金鑰 ID 設為預設值的命令。

如果HA配對使用加密SAS或NVMe磁碟機(SED、NSE、FIPS)、則在初始化系統之前、您必須針對HA配對內的所有磁碟機(開機選項4或9)執行此程序。如果未這麼做、可能會在磁碟機重新調整用途時、導致未來的資料遺失。

開始之前

您必須是叢集管理員才能執行此工作。

步驟

  1. 將權限層級設為進階:

    set -privilege advanced

  2. 如果FIPS磁碟機以FIPS相容模式執行、請將節點的FIPS驗證金鑰ID設回預設的MSID 0x0:

    storage encryption disk modify -disk disk_id -fips-key-id 0x0

    您可以使用 security key-manager query 檢視金鑰ID的命令。

    cluster1::> storage encryption disk modify -disk 2.10.11 -fips-key-id 0x0

Info: Starting modify on 14 disks.
      View the status of the operation by using the
      storage encryption disk show-status command.

    使用以下命令確認作業成功:

    storage encryption disk show-status

    重複執行show-STATUS命令、直到「磁碟已開始」和「磁碟已完成」中的數字相同為止。

    cluster1:: storage encryption disk show-status

            FIPS    Latest   Start               Execution   Disks   Disks Disks
Node        Support Request  Timestamp           Time (sec)  Begun   Done  Successful
-------     ------- -------- ------------------  ---------- ------ ------  ----------
cluster1    true    modify   1/18/2022 15:29:38    3           14     5         5
1 entry was displayed.

  3. 將節點的資料驗證金鑰ID設回預設的MSID 0x0:

    storage encryption disk modify -disk disk_id -data-key-id 0x0

    的價值 -data-key-id 無論您要將 SAS 或 NVMe 磁碟機恢復為未受保護模式、都應該設定為 0x0 。

    您可以使用 security key-manager query 檢視金鑰ID的命令。

    cluster1::> storage encryption disk modify -disk 2.10.11 -data-key-id 0x0

Info: Starting modify on 14 disks.
      View the status of the operation by using the
      storage encryption disk show-status command.

    使用以下命令確認作業成功:

    storage encryption disk show-status

    重複執行show-STATUS命令、直到數字相同為止。當「磁碟已開始」和「磁碟已完成」中的數字相同時、作業即告完成。

維護模式

從支援功能9.7開始ONTAP 、您可以從維護模式重新輸入FIPS磁碟機的金鑰。只有在ONTAP 無法使用上一節中的指令時、才應使用維護模式。

步驟

  1. 將節點的FIPS驗證金鑰ID設回預設的MSID 0x0:

    disk encrypt rekey_fips 0x0 disklist

  2. 將節點的資料驗證金鑰ID設回預設的MSID 0x0:

    disk encrypt rekey 0x0 disklist

  3. 確認FIPS驗證金鑰已成功重新輸入:

    disk encrypt show_fips

  4. 確認資料驗證金鑰已成功重新輸入:

    disk encrypt show

    您的輸出可能會顯示預設的MSID 0x0金鑰ID或金鑰伺服器所保留的64個字元值。。 Locked? 欄位是指資料鎖定。

Disk       FIPS Key ID                 Locked?
---------- --------------------------- -------
0a.01.0    0x0                          Yes