SEKM機能
iDRACでは、次のようなSEKM機能を使用できます。
- SEKMキーのパージ ポリシー:iDRACには、キーの更新操作の実行時に、使用されていない古いキーをキー管理サーバー(KMS)でパージするようにiDRACを設定できるポリシー設定機能があります。iDRACの読み取り/書き込み属性KMSKeyPurgePolicyを、次のいずれかの値に設定します。
- [すべてのキーを保存する]:既存のデフォルト設定です。キーの更新操作の実行時に、iDRACはすべてのキーをそのままKMSに残しておきます。
- [NおよびN-1キーを保持する]:キーの更新操作の実行時に、iDRACは現在(N)および前回(N-1)のキーを除くすべてのキーをKMSから削除します。
- SEKMが無効な場合のKMSキーのパージ:Secure Enterprise Key Manager (SEKM)ソリューションでは、iDRACからiDRACのSEKMを無効にすることができます。SEKMを無効にすると、iDRACによってKMSで生成されたキーは未使用になり、KMSに残ります。この機能は、SEKMが無効になっている場合に、iDRACでこれらのキーを削除できるようにするための機能です。iDRACの既存のレガシー コマンド「racadm sekm disable」に新たに「-purgeKMSKeys」オプションができ、iDRACでSEKMが無効になっている場合にKMSキーをパージできます。
注:SEKMがすでに無効になっている場合に古いキーをパージするには、SEKMをいったん有効にしてから、「-purgeKMSKeys」オプションを指定して再度無効にする必要があります。
- キー作成ポリシー:このリリースでは、キー作成ポリシーがiDRACにあらかじめ設定されています。KeyCreationPolicy属性は読み取り専用で、「Key per iDRAC」という値が設定されています。
- SEKMのキー更新:iDRACのSEKMソリューションのキー更新のために、UIには「iDRACのキー更新」と「PERCのキー更新」の2つのオプションがあります。SEKM Secureに対応し有効になっているすべてのデバイスのキーが更新されるため、「iDRACのキーの更新」を使用することをお勧めします。
- RedfishからのみSEKMのキー更新:Redfishからは、次の2つのSEKMキー更新オプションがサポートされます。
- SEKM iDRACスケジュールキー再生成—ユーザーが設定した繰り返し間隔に基づいて、SEKMキーの自動変更のために、iDRACから新しいキー生成要求を送信します。
- SEKM iDRAC Periodic Sync with Key Management Server (KMS)—KMSサーバーで設定された繰り返し間隔に基づいて、SEKMキーの自動変更を有効にします。iDRACは、KMSサーバーで生成された新しいキーをポーリングします。
サポート対象のすべてのSEKM機能と導入ワークフローの詳細については、ホワイト ペーパー『Dell PowerEdgeサーバーでOpenManage Secure Enterprise Key Manager (SEKM)を有効にする』を参照してください。
注:SEKMがPERCで有効にされると、CTL136ログが生成されます。ただし、PERC 12では、キーの更新の実行中にCTL136ログは生成されません。これは、キーがrekeyコマンドの一部として提供されるため、コントローラーがキー リクエストを作成しないためです。