メインコンテンツまでスキップ

外部キー管理を使用している場合のドライブのロック解除

外部キー管理を構成した後、セキュア対応ドライブを 1 つのストレージ・アレイから別のストレージ・アレイに移動する場合、そのセキュリティー・キーを新しいストレージ・アレイに再割り当てし、ドライブ上の暗号化されたデータにアクセスする必要があります。

始める前に

  • ソース・アレイ (ドライブを取り外すアレイ) でボリューム・グループをエクスポートし、ドライブを取り外しておきます。ターゲット・アレイにドライブを再び取り付けておきます。: System Manager ユーザー・インターフェースでは、エクスポート/インポート機能はサポートされていません。コマンド・ライン・インターフェース (CLI) を使用して、ボリューム・グループを別のストレージ・アレイにエクスポート/インポートする必要があります。

  • ドライブ・セキュリティー機能を有効にする必要があります。それ以外の場合、このタスクの実行中に、セキュリティー・キーを作成できませんというダイアログ・ボックスが開きます。ドライブ・セキュリティー機能を有効にする手順については、必要に応じてストレージ ベンダーに問い合わせてください。

  • キー管理サーバーの IP アドレスとポート番号を把握している必要があります。

  • ストレージ・アレイのコントローラーの署名済みクライアント証明書ファイルがあり、System Manager にアクセスしているホストにそのファイルをコピー済みです。クライアント証明書によってストレージ・アレイのコントローラーが検証されるため、鍵管理サーバーは鍵管理相互運用性プロトコル (KMIP) 要求を信頼できます。

  • 証明書ファイルをキー管理サーバーから取得し、そのファイルを System Manager にアクセスしているホストにコピーする必要があります。キー管理サーバー証明書は、ストレージ・アレイがサーバーの IP アドレスを信頼できるよう、キー管理サーバーを検証します。キー管理サーバーにはルート証明書、中間証明書、またはサーバー証明書を使用できます。

サーバー証明書について詳しくは、鍵管理サーバーの資料を参照してください。

このタスクについて

外部キー管理を使用する場合、セキュリティー・キーは、セキュリティー・キーの保護用に設計された外部のサーバーに格納されます。セキュリティー・キーとは、読み取り/書き込みアクセス用にコントローラーとドライブで共有される文字列のことです。ドライブをアレイから物理的に取り外して別のドライブに取り付け済みである場合、正しいセキュリティー・キーを指定するまで動作しません。

コントローラーの永続メモリーから内部キーを作成するか、キー管理サーバーから外部キーを作成することができます。このトピックでは、外部キー管理を使用した場合のデータのロック解除について説明します。内部キー管理を使用した場合は、内部キー管理を使用している場合のドライブのロック解除を参照してください。コントローラーのアップグレードを実行し、最新のハードウェア用のコントローラーをすべて交換する場合は、「ドライブのロック解除」セクションの DE Series・コントローラーのアップグレードで説明されている手順に従う必要があります。

セキュア対応ドライブを別のアレイに再取り付けすると、そのアレイはドライブを検出し、「セキュリティー・キーが必要」というステータスとともに「要注意」状態と表示されます。ドライブ・データをロック解除するには、セキュリティー・キー・ファイルをインポートし、そのキーのパス・フレーズを入力します。(このパス・フレーズは、ストレージ・アレイの管理者パスワードとは異なります。)このプロセスでは、外部キー管理サーバーを使用するようにストレージ・アレイを構成すると、セキュア・キーにアクセスできるようになります。ストレージ・アレイに接続してセキュリティー・キーを取得するには、サーバーの連絡先情報を入力する必要があります。

新しいストレージ・アレイに取り付けられている他のセキュリティ有効ドライブでは、インポートするセキュリティー・キーとは別のセキュリティー・キーが使用される場合があります。インポート プロセスでは、取り付けるドライブのデータのロック解除にのみ古いセキュリティー・キーが使用されます。ロック解除プロセスが成功すると、新しく取り付けたドライブのキーがターゲット ストレージ・アレイのセキュリティー・キーに変更されます。

  1. 設定 > システムの順に選択します。
  2. セキュリティー・キー管理で、外部キーの作成を選択します。
  3. 前提条件となる接続情報と証明書を使用して、ウィザードを完了します。
  4. 通信のテストをクリックして、外部キー管理サーバーへのアクセスを確保します。
  5. セキュア・ドライブのロック解除を選択します。
    "セキュア・ドライブのロック解除" ダイアログ・ボックスが開きます。セキュリティー・キーを必要とするドライブがテーブルに表示されます。
  6. 必要に応じて、ドライブの場所(シェルフ番号およびベイ番号)を確認するドライブ番号にカーソルを合わせます。
  7. 参照をクリックし、ロックを解除するドライブに対応するセキュリティー・キー・ファイルを選択します。
    選択したキー・ファイルがダイアログ・ボックスに表示されます。
  8. このキー・ファイルに関連付けられているパス・フレーズを入力します。
    入力した文字はマスクされます。
  9. ロック解除をクリックします。
    ロック解除処理が成功すると、「関連付けられているセキュア ドライブのロックが解除されました」というメッセージを示すダイアログ・ボックスが表示されます。

結果

ただし、ターゲット ストレージ・アレイ内の一部のドライブがすでにロック解除されている場合、コントローラはリブートされません。

完了後

ターゲット・アレイ (新しく取り付けたドライブがあるアレイ) で、ボリューム・グループをインポートできるようになります。

System Manager ユーザー・インターフェースでは、エクスポート/インポート機能はサポートされていません。コマンド・ライン・インターフェース (CLI) を使用して、ボリューム・グループを別のストレージ・アレイにエクスポート/インポートする必要があります。