エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9.14

to English version

クラスタ化された外部キー サーバーの設定

ONTAP 9.11.1以降では、SVM上のクラスタ化された外部キー管理サーバーへの接続を設定できます。クラスタ化されたキー サーバーを使用すると、1台のSVM上にプライマリー キー サーバーとセカンダリー キー サーバーを指定できます。キーを登録する際、ONTAPは最初にプライマリー キー サーバーへのアクセスを試行し、その後処理が正常に完了するまで各セカンダリー サーバーへのアクセスを順次試行して、キーの重複を回避します。

外部キー サーバーは、Storage Encryption (SE)、Volume Encryption、Aggregate Encryption、およびSEDの各キーに使用できます。1台のSVMに最大4台の外部プライマリーKMIPサーバーを指定できます。各プライマリー サーバーには、最大3台のセカンダリー キー サーバーを指定できます。

開始する前に

クラスタ化されたキー サーバーの作成

設定手順は、プライマリー キー サーバーを設定済みかどうかによって異なります。

SVMへのプライマリー キー サーバーとセカンダリー キー サーバーの追加

1.クラスタでキー管理が有効になっていないことを確認します。
security key-manager external show -vserver svm_name
SVMですでに4台のプライマリー キー サーバーが有効になっている場合は、新しいプライマリー キー サーバーを追加する前に既存のプライマリー キー サーバーの1つを削除する必要があります。

2.プライマリー キー管理ツールを有効にします。
security key-manager external enable -vserver svm_name -key-servers server_ip -client-cert client_cert_name -server-ca-certs server_ca_cert_names

3.プライマリー キー サーバーを変更してセカンダリー キー サーバーを追加します。
-secondary-key-serversパラメーターには、最大3台のキーサーバーをカンマで区切って指定できます。
security key-manager external modify-server -vserver svm_name -key-servers primary_key_server -secondary-key-servers list_of_key_servers

既存のプライマリー キー サーバーへのセカンダリー キー サーバーの追加

1.プライマリー キー サーバーを変更してセカンダリー キー サーバーを追加します。
-secondary-key-servers パラメーターには、最大3台のキーサーバーをカンマで区切って指定できます。
security key-manager external modify-server -vserver svm_name -key-servers primary_key_server -secondary-key-servers list_of_key_servers
セカンダリー キー サーバーの詳細については、「セカンダリー キー サーバーの変更」を参照してください。

クラスタ化されたキー サーバーの変更

外部キーサーバーについては、特定のキー サーバーのステータス(プライマリーまたはセカンダリー)を変更する、セカンダリー キー サーバーを追加および削除する、またはセカンダリー キー サーバーのアクセス順序を変更することができます。

プライマリー キー サーバーとセカンダリー キー サーバーの変換

プライマリー キー サーバーをセカンダリー キー サーバーに変換するには、最初にsecurity key-manager external remove-serversコマンドを使用してサーバーをSVMから削除しておく必要があります。

セカンダリー キー サーバーをプライマリー キー サーバーに変換するには、最初に既存のプライマリー キー サーバーからセカンダリー キー サーバーを削除する必要があります。「セカンダリー キー サーバーの変更」を参照してください。既存のキーの削除中にセカンダリー キー サーバーをプライマリー サーバーに変換する場合、削除と変換が完了する前に新しいサーバーを追加しようとすると、キーが重複する可能性があります。

セカンダリー キー サーバーの変更

セカンダリー キー サーバーは、security key-manager external modify-serverコマンドの-secondary-key-serversパラメーターを使用して管理します。-secondary-key-serversパラメーターには、カンマで区切ったリストを指定できます。リストに指定されたセカンダリー キー サーバーの順序によって、セカンダリー キー サーバーのアクセス順序が決まります。アクセス順序を変更するには、セカンダリー キー サーバーを別の順序で入力してsecurity key-manager external modify-serverコマンドを実行します。

セカンダリー キー サーバーを削除するには、-secondary-key-servers引数に削除するキー サーバーは指定せず、残すキー サーバーだけを指定する必要があります。すべてのセカンダリー キー サーバーを削除するには、引数-(なし)を使用します。

詳細については、ONTAPコマンド リファレンスsecurity key-manager externalのページを参照してください。

Top of Page