エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

クラウド プロバイダーによるキーの管理

ONTAP 9.10.1以降では、Azure Key Vault(AKV)Google Cloud PlatformのKey Management Service(Cloud KMS)を使用して、クラウドにホストされたアプリケーションでONTAPの暗号化キーを保護できます。ONTAP 9.12.0以降では、AWS KMSを使用してVEキーを保護することもできます。

AWS KMS、AKV、Cloud KMSを使用してVolume Encryption(VE)キーを保護できるのは、データSVMのみです。

タスク概要

クラウド プロバイダーによるキー管理は、CLIまたはONTAP REST APIを使用して有効にすることができます。

キーを保護するためにクラウド プロバイダーを利用する場合は、クラウド キー管理エンドポイントとの通信にデータSVM LIFがデフォルトで使用されることに注意してください。クラウド プロバイダーの認証サービス(Azureの場合はlogin.microsoftonline.com、Cloud KMSの場合はoauth2.googleapis.com)との通信にはノード管理ネットワークが使用されます。クラスタ ネットワークが正しく設定されていないと、クラスタはキー管理サービスを適切に利用できません。

クラウド プロバイダーのキー管理サービスを利用する場合は、次の制限事項に注意してください。

  • クラウド プロバイダーによるキー管理は、Storage Encryption(SE)およびAggregate Encryption(AE)では使用できません。代わりに外部KMIPを使用できます。

  • クラウド プロバイダーによるキー管理は、MetroCluster構成では利用できません。

  • クラウド プロバイダーによるキー管理を設定できるのは、データSVMのみです。

開始する前に

外部キー管理の有効化

外部キー管理を有効にする方法は、使用するキー管理ツールによって異なります。適切なキー管理ツールと環境のタブを選択します。

AWS
開始する前に
  • 暗号化を管理するIAMロールで使用されるAWS KMSキーに対応するグラントを作成する必要があります。IAMロールには、次の処理を許可するポリシーが含まれている必要があります。

    • DescribeKey

    • Encrypt

    • Decrypt
      +
      詳細については、グラントに関するAWSのドキュメントを参照してください。

ONTAP SVMでAWS KMVを有効にする
  1. 作業を開始する前に、AWS KMSからアクセスキーIDとシークレット キーを取得しておきます。

  2. 権限レベルをadvancedに設定します。
    set -priv advanced

  3. AWS KMSを有効にします。
    security key-manager external aws enable -vserver svm_name -region AWS_region -key-id key_ID -encryption-context encryption_context

  4. プロンプトが表示されたら、シークレット キーを入力します。

  5. AWS KMSが正しく設定されたことを確認します。
    security key-manager external aws show -vserver svm_name

Azure
ONTAP SVMでAzure Key Vaultを有効にする
  1. 作業を開始する前に、Azureアカウントから適切な認証クレデンシャル(クライアント シークレットまたは証明書)を取得する必要があります。
    また、クラスタ内のすべてのノードが健全であることを確認する必要があります。これはcluster showコマンドで確認できます。

  2. 権限レベルをadvancedに設定します。
    set -priv advanced

  3. SVMでAKVを有効にします。
    security key-manager external azure enable -client-id client_id -tenant-id tenant_id -name -key-id key_id -authentication-method {certificate|client-secret}
    プロンプトが表示されたら、Azureアカウントから取得したクライアント証明書またはクライアント シークレットを入力します。

  4. AKVが有効になったことを確認します。
    security key-manager external azure show vserver svm_name
    サービスの到達可能性が「OK」でない場合は、データSVM LIFを使用してAKVキー管理サービスへの接続を確立します。

Google Cloud
ONTAP SVMでCloud KMSを有効にする
  1. 作業を開始する前に、Google Cloud KMSアカウント キー ファイルの秘密鍵をJSON形式で取得しておきます。これはGCPアカウントから入手できます。
    また、クラスタ内のすべてのノードが健全であることを確認する必要があります。これはcluster showコマンドで確認できます。

  2. 権限レベルをadvancedに設定します。
    set -priv advanced

  3. SVMでCloud KMSを有効にします。
    security key-manager external gcp enable -vserver svm_name -project-id project_id-key-ring-name key_ring_name -key-ring-location key_ring_location -key-name key_name
    プロンプトが表示されたら、サービス アカウントの秘密鍵に対応するJSONファイルの内容を入力します。

  4. Cloud KMSに正しいパラメーターが設定されていることを確認します。
    security key-manager external gcp show vserver svm_name
    暗号化されたボリュームが作成されていない場合、kms_wrapped_key_statusのステータスは“UNKNOWN”になります。
    サービスの到達可能性が「OK」でない場合は、データSVM LIFを使用してGCPキー管理サービスへの接続を確立します。

データSVMに暗号化されたボリュームがすでに1つ以上設定されており、対応するVEキーが管理SVMのオンボード キー マネージャで管理されている場合は、それらのキーを外部キー管理サービスに移行する必要があります。CLIでこの操作を行うには、次のコマンドを実行します。
security key-manager key migrate -from-Vserver admin_SVM -to-Vserver data_SVM
テナントのデータSVMのすべてのVEキーを移行するまで、データSVMに暗号化された新しいボリュームを作成することはできません。

Top of Page