エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

ONTAP System Managerを使用した外部キー管理ツールの管理

ONTAP 9.7以降では、オンボード キー マネージャを使用して認証キーと暗号化キーを保存、管理できます。ONTAP 9.13.1以降では、外部キー管理ツールを使用してこれらのキーを保存、管理することもできます。

オンボード キー マネージャを使用する場合、キーはクラスタ内部のセキュアーなデータベースで格納、管理されます。スコープはクラスタです。外部キー管理ツールを使用する場合、キーはクラスタの外部で格納、管理されます。スコープは、クラスタでもStorage VMでもあり得ます。1つ以上の外部キー管理ツールを使用できます。次の条件が適用されます。

  • オンボード キー マネージャが有効になっている場合、外部キー管理ツールをクラスタ レベルで有効にすることはできませんが、Storage VMレベルで有効にすることはできます。

  • 外部キー管理ツールがクラスタ レベルで有効になっている場合、オンボード キー マネージャを有効にすることはできません。

外部キー管理ツールを使用する場合、Storage VMとクラスタごとに最大4つのプライマリー キー サーバーを登録できます。 各プライマリー キー サーバーには、最大3台のセカンダリー キー サーバーを追加してクラスタ化できます。

外部キー管理ツールの設定

Storage VMに外部キー管理ツールを追加するためには、Storage VMのネットワーク インターフェイス設定時にオプションのゲートウェイを追加しておく必要があります。ネットワーク ルートなしでStorage VMを作成した場合、外部キー管理ツール用のルートを明示的に作成する必要があります。「LIFの作成(ネットワーク インターフェース)」を参照してください。

手順

外部キー管理ツールの設定は、ONTAP System Manager内の複数のメニューから開始できます。

  1. 次のいずれかのオプションを使用して、外部キー管理の設定を開始します。

    ワークフロー

    オプション

    手順

    キー管理ツールの設定

    [クラスター] > [設定]

    [セキュリティ]セクションまでスクロールします。[暗号化]で、icon gearを選択します。[外部キーマネージャ]を選択します。

    ローカル階層の追加

    [ストレージ] > [階層]

    +[Aローカル階層の追加]をクリックします。[Configure Key Manager]チェック ボックスをオンにします。[外部キーマネージャ]を選択します。

    ストレージの準備

    [ダッシュボード]

    [容量]セクションで、[ストレージの準備]を選択します。 次に、[Configure Key Manager]を選択します。[外部キーマネージャ]を選択します。

    暗号化の設定(Storage VMを対象とするキー管理ツールのみ)

    [ストレージ] > [Storage VM]

    Storage VMを選択します。[設定]タブをクリックします。[セキュリティ][暗号化]セクションで、設定アイコンを選択します。

  2. プライマリー キー サーバーを追加するには、+追加をクリックし、[IP Address or Host Name]フィールドと[Port]フィールドに値を入力します。

  3. インストールされている既存の証明書が、[KMIP Server CA Certificates]フィールドと[KMIP Client Certificate]フィールドに表示されます。 次のいずれかを実行します。

    • キー管理ツールにマッピングするインストール済み証明書を選択するには、pull-down arrowを選択します(サービスCA証明書は複数選択できますが、クライアント証明書は1つしか選択できません)。

    • まだインストールされていない証明書を追加して外部キー管理ツールにマッピングするには、[新しい証明書の追加]を選択します。

    • 外部キー管理ツールにマッピングしないインストール済み証明書を削除するには、証明書名の横にあるXを選択します。

  4. セカンダリー キー サーバーを追加するには、[セカンダリキーサーバ]列で[追加]をクリックし、詳細を入力します。

  5. [保存]を選択して設定を完了します。

既存の外部キー管理ツールの編集

すでに外部キー管理ツールの設定が完了している場合は、その設定を変更できます。

手順
  1. 外部キー管理ツールの設定を編集するには、次のいずれかの手順を実行します。

    対象

    ナビゲーション

    手順

    クラスタが対象の外部キー管理ツール

    [クラスタ] > [設定]

    [セキュリティ]セクションまでスクロールします。[暗号化]kebab アイコンを選択し、次に[外部キーマネージャの編集]を選択します。

    Storage VMが対象の外部キー管理ツール

    [ストレージ] > [Storage VM]

    Storage VMを選択します。[設定]タブをクリックします。[セキュリティ][暗号化]セクションで、kebab アイコンを選択し、次に[外部キーマネージャの編集]を選択します。

  2. 既存のキー サーバーが[キーサーバ]テーブルに表示されます。次の処理を実行できます。

    • 新しいキー サーバーを追加するには、+追加をク選択します。

    • キー サーバーを削除するには、キー サーバー名が表示されたセルの末尾にあるkebab アイコンを選択します。削除するプライマリー キー サーバーに関連付けられているセカンダリー キー サーバーも、設定から削除されます。

外部キー管理ツールの削除

ボリュームが暗号化されていない場合は、外部キー管理ツールを削除できます。

手順
  1. 次のいずれかの手順を実行して、外部キー管理を削除します。

    対象

    ナビゲーション

    手順

    クラスタが対象の外部キー管理ツール

    [クラスタ] > [設定]

    [セキュリティ]セクションまでスクロールします。[暗号化]kebab アイコンを選択し、次に[外部キーマネージャの削除]を選択します。

    Storage VMが対象の外部キー管理ツール

    [ストレージ] > [Storage VM]

    Storage VMを選択します。[設定]タブを選択します。[セキュリティ][暗号化]セクションで、kebab アイコンを選択し、次に[外部キーマネージャの削除]を選択します。

キー管理ツール間のキーの移行

クラスタで複数のキー管理ツールが有効になっている場合、1つのキー管理ツールから別のキー管理ツールにキーを移行する必要があります。このプロセスは、ONTAP System Managerで自動的に実行されます。

  • オンボード キー マネージャまたは外部キー管理ツールがクラスタ レベルで有効になっていて、一部のボリュームが暗号化されている場合、Storage VMレベルで外部キー管理ツールを設定する際には、クラスタ レベルのオンボード キー マネージャまたは外部キー管理ツールからStorage VMレベルの外部キー管理ツールにキーを移行する必要があります。 このプロセスは、ONTAP System Managerで自動的に実行されます。

  • 暗号化せずにStorage VMにボリュームを作成した場合、キーを移行する必要はありません。

Top of Page