エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

to English version

ONTAP 9.7以降での認証キーの作成

security key-manager key createコマンドを使用して、ノードの認証キーを作成し、設定済みのKMIPサーバーに格納できます。

タスク概要

セキュリティの設定によりデータ認証とFIPS 140-2認証に異なるキーを使用する必要がある場合は、それぞれの認証用のキーを作成する必要があります。そうでない場合は、FIPS準拠の認証キーをデータ アクセスにも使用できます。

ONTAPでは、クラスタ内のすべてのノードについて認証キーが作成されます。

  • このコマンドは、オンボード キー マネージャが有効な場合はサポートされません。ただし、オンボード キー マネージャを有効にすると、2つの認証キーが自動的に作成されます。キーを表示するには、次のコマンドを使用します。

    security key-manager key query -key-type NSE-AK

  • 設定済みのキー管理サーバーにすでに128個を超える認証キーが格納されている場合は警告が表示されます。

  • security key-manager key deleteコマンドを使用して、使用していないキーを削除できます。指定したキーがONTAPで現在使用されている場合、security key-manager key deleteコマンドは失敗します(このコマンドを使用するには「admin」よりも上位の権限が必要です)。

    MetroCluster環境では、キーを削除する前に、そのキーがパートナー クラスタで使用されていないことを確認する必要があります。パートナー クラスタで、次のコマンドを使用してキーが使用されていないことを確認してください。

    • storage encryption disk show -data-key-id key-id

    • storage encryption disk show -fips-key-id key-id

開始する前に

このタスクを実行するには、クラスタ管理者である必要があります。

手順
  1. クラスタ ノードの認証キーを作成します。

    security key-manager key create -key-tag passphrase_label -prompt-for-key true|false

    prompt-for-key=trueを設定すると、暗号化されたドライブを認証する際にクラスタ管理者に対して使用するパスフレーズの入力が要求されます。設定しない場合は、32バイトのパスフレーズが自動的に生成されます。 security key-manager key createコマンドは、security key-manager create-keyコマンドに置き換わるものです。コマンド構文全体については、マニュアル ページを参照してください。

    次の例では、cluster1の認証キーを作成し、32バイトのパスフレーズを自動的に生成します。

    cluster1::> security key-manager key create
    Key ID: 000000000000000002000000000001006268333f870860128fbe17d393e5083b0000000000000000
  2. 認証キーが作成されたことを確認します。

    security key-manager key query -node node

    security key-manager key queryコマンドは、security key-manager query keyコマンドに置き換わるものです。コマンド構文全体については、マニュアル ページを参照してください。 出力に表示されるキーIDは、認証キーへの参照として使用する識別子です。実際の認証キーまたはデータ暗号化キーではありません。

    次の例では、cluster1の認証キーが作成されたことを検証します。

    cluster1::> security key-manager key query
           Vserver: cluster1
       Key Manager: external
              Node: node1
    
    Key Tag                               Key Type  Restored
    ------------------------------------  --------  --------
    node1                                 NSE-AK    yes
        Key ID: 000000000000000002000000000001000c11b3863f78c2273343d7ec5a67762e0000000000000000
    node1                                 NSE-AK    yes
        Key ID: 000000000000000002000000000001006f4e2513353a674305872a4c9f3bf7970000000000000000
    
           Vserver: cluster1
       Key Manager: external
              Node: node2
    
    Key Tag                               Key Type  Restored
    ------------------------------------  --------  --------
    node2                                 NSE-AK    yes
        Key ID: 000000000000000002000000000001000c11b3863f78c2273343d7ec5a67762e0000000000000000
    node2                                 NSE-AK    yes
        Key ID: 000000000000000002000000000001006f4e2513353a674305872a4c9f3bf7970000000000000000
Top of Page