エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

to English version

オンボード キー管理の有効化)

オンボード キー マネージャを使用して、クラスタ ノードをFIPSドライブまたはSEDに対して認証できます。オンボード キー マネージャは組み込みのツールで、データと同じストレージ システムからノードに認証キーを提供します。オンボード キー マネージャはFIPS-140-2レベル1に準拠しています。

オンボード キー マネージャを使用して、暗号化されたデータにアクセスする際にクラスタで使用するキーを安全に保管できます。オンボード キー マネージャは、暗号化されたボリュームや自己暗号化ドライブにアクセスする各クラスタで有効にする必要があります。

タスク概要

security key-manager onboard enableコマンドはクラスタにノードを追加するたびに実行する必要があります。MetroCluster構成では、同じパスフレーズを使用してまずローカル クラスタでsecurity key-manager onboard enableを実行し、次にリモート クラスタでsecurity key-manager onboard syncを実行する必要があります。

デフォルトでは、ノードのリブート時にキー管理ツールのパスフレーズを入力する必要はありません。MetroClusterを除いて、cc-mode-enabled=yesオプションを使用してリブート後にユーザーにパスフレーズの入力を求めるように設定できます。

Common Criteriaモード(cc-mode-enabled=yes)でオンボード キー マネージャを有効にすると、システムの動作が次のように変更されます。

  • Common Criteriaモードでは、クラスタ パスフレーズの連続入力エラーが監視されます。

    Storage Encryption(SE)が有効な場合、ブート時にクラスタの正しいパスフレーズを入力しない場合は、システムはドライブに対して認証できず、自動的にリブートします。この問題を解決するには、ブート プロンプトで正しいクラスタ パスフレーズを入力する必要があります。ブート後は、クラスタ パスフレーズを求められるコマンドを実行するたびに、クラスタ パスフレーズを24時間以内に5回まで試行できます。制限に達した場合(例:クラスタ パスフレーズを5回連続で間違えた場合)、24時間のタイムアウト時間が過ぎるのを待つか、またはノードをリブートして制限をリセットする必要があります。

  • システム イメージの更新では、通常の弊社のRSA-2048コード署名証明書とSHA-256のコード署名ダイジェストではなく、弊社のRSA-3072コード署名証明書とSHA-384のコード署名ダイジェストを使用してイメージの整合性がチェックされます。

    アップグレード コマンドは、さまざまなデジタル署名をチェックして、イメージの内容が変更されていないか、または破損していないかを確認します。検証に成功した場合、イメージの更新プロセスは次の手順に進み、成功しなかった場合は更新に失敗します。システム更新の情報については、「cluster image」のマニュアル ページを参照してください。

オンボード キー マネージャは揮発性メモリーにキーを格納します。揮発性メモリーの内容はシステムのリブート時または停止時にクリアされます。通常の動作状態では、揮発性メモリーの内容はシステムが停止してから30秒以内にクリアされます。
開始する前に
  • SEで外部キー管理(KMIP)サーバーを使用している場合は、外部キー管理ツールのデータベースを削除しておく必要があります。

  • このタスクを実行するには、クラスタ管理者である必要があります。

  • オンボード キー マネージャを設定する前に、MetroCluster環境を設定する必要があります。

手順
  1. キー管理ツール セットアップ コマンドを開始します。

    security key-manager onboard enable -cc-mode-enabled yes|no

    リブート後にユーザーにパスフレーズの入力を求めるには、cc-mode-enabled=yesを設定します。- cc-mode-enabledオプションはMetroCluster構成ではサポートされません。 security key-manager onboard enableコマンドは、security key-manager setupコマンドに置き換わるものです。

    次の例は、リブートのたびにパスフレーズの入力を求めずに、cluster1でキー管理ツール セットアップ コマンドを開始します。

    cluster1::> security key-manager onboard enable
    
    Enter the cluster-wide passphrase for onboard key management in Vserver "cluster1"::    <32..256 ASCII characters long text>
    Reenter the cluster-wide passphrase:    <32..256 ASCII characters long text>
  2. パスフレーズのプロンプトで32~256文字のパスフレーズを入力します。「cc-mode」の場合は64~256文字のパスフレーズを入力します。

    指定した「cc-mode」のパスフレーズが64文字未満の場合、5秒後に再度パスフレーズのプロンプトが表示されます。

  3. パスフレーズの確認のプロンプトでパスフレーズをもう一度入力します。

  4. 認証キーが作成されたことを確認します。

    security key-manager key query -node node

    security key-manager key queryコマンドは、security key-manager query keyコマンドに置き換わるものです。コマンド構文全体については、マニュアル ページを参照してください。

    次の例では、cluster1の認証キーが作成されたことを検証します。

    cluster1::> security key-manager key query
           Vserver: cluster1
       Key Manager: onboard
              Node: node1
    
    Key Tag                               Key Type  Restored
    ------------------------------------  --------  --------
    node1                                 NSE-AK    yes
        Key ID: 000000000000000002000000000001000c11b3863f78c2273343d7ec5a67762e0000000000000000
    node1                                 NSE-AK    yes
        Key ID: 000000000000000002000000000001006f4e2513353a674305872a4c9f3bf7970000000000000000
    
           Vserver: cluster1
       Key Manager: onboard
              Node: node2
    
    Key Tag                               Key Type  Restored
    ------------------------------------  --------  --------
    node1                                 NSE-AK    yes
        Key ID: 000000000000000002000000000001000c11b3863f78c2273343d7ec5a67762e0000000000000000
    node2                                 NSE-AK    yes
        Key ID: 000000000000000002000000000001006f4e2513353a674305872a4c9f3bf7970000000000000000
終了後の操作

あとで使用できるように、ストレージ システムの外部の安全な場所にパスフレーズをコピーしておきます。

キー管理情報は、クラスタのレプリケート データベース(RDB)にすべて自動的にバックアップされます。災害時に備えて、情報を手動でもバックアップしておく必要があります。

Top of Page