エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

SVMルート ボリュームでのVolume Encryptionの設定

ONTAP 9.14.1以降では、Storage VM(SVM)のルート ボリュームでVolume Encryption(VE)を有効にできます。VEを使用すると、ルート ボリュームが一意のキーで暗号化されるため、SVMのセキュリティが強化されます。

タスク概要

SVMルート ボリュームでのVEは、SVMの作成後にのみ有効にできます。

開始する前に
  • SVMルート ボリュームは、Aggregate Encryption(AE)で暗号化されたアグリゲートに配置しないでください。

  • オンボード キー マネージャや外部キー マネージャを使用した暗号化を有効にしておく必要があります。

  • ONTAP 9.14.1以降が実行されている必要があります。

  • VEで暗号化されたルート ボリュームが含まれるSVMを移行するには、移行の完了後にSVMルート ボリュームをプレーンテキスト ボリュームに変換したうえで、再度SVMルート ボリュームを暗号化する必要があります。

    • SVM移行のデスティネーション アグリゲートでAEを使用する場合、ルート ボリュームはデフォルトでAEを継承します。

  • SVMがSVMディザスタ リカバリー関係に含まれる場合、次のことに注意してください。

    • ミラーされたSVMの暗号化設定は、デスティネーションにコピーされません。ソースまたはデスティネーションでVEを有効にする場合は、ミラーされたSVMルート ボリュームで個別にVEを有効にする必要があります。

    • デスティネーション クラスタ内のすべてのアグリゲートでAEが使用される場合、SVMルート ボリュームでもAEが使用されます。

手順

ONTAP CLIかONTAP System Managerを使用して、SVMルート ボリュームでVEを有効にできます。

CLI

SVMルート ボリュームでVEを有効にする方法は、インプレースで行う方法と、アグリゲート間でボリュームを移動する方法があります。

ルート ボリュームをインプレースで暗号化する
  1. ルート ボリュームを暗号化されたボリュームに変換します。

    volume encryption conversion start -vserver svm_name -volume volume

  2. 暗号化が成功したことを確認します。volume show -encryption-type volumeを実行すると、VEを使用しているすべてのボリュームのリストが表示されます。

SVMルート ボリュームを移動して暗号化する
  1. ボリュームの移動を開始します。

    volume move start -vserver svm_name -volume volume -destination-aggregate aggregate -encrypt-with-aggr-key false -encrypt-destination true

    volume moveの詳細については、「ボリュームの移動」を参照してください。

  2. volume move showコマンドを使用して、volume moveの処理が成功したことを確認します。volume show -encryption-type volumeを実行すると、VEを使用しているすべてのボリュームのリストが表示されます。

ONTAP System Manager
  1. [ストレージ] > [ボリューム]に移動します。

  2. 暗号化するSVMルート ボリュームの名前の横にあるthree vertical dotsから[編集を選択します。

  3. [Storage and Optimization]のところで[Enable encryption]を選択します。

  4. [保存]を選択します。

Top of Page