DAOS オブジェクト暗号鍵の整合性を保つ
DAOS Encryption Manager タスク (daosencmgr) を使用して、サーバー上のすべての DAOS オブジェクトが同じ暗号強度と暗号鍵を使用するようにします。
このタスクについて
- Domino サーバーに関連付けられたすべての DAOS オブジェクトで使用されている暗号鍵に関する情報をリストします。
- Domino ディレクトリのサーバー文書の [DAOS] タブにある DAOS オブジェクト暗号化設定と一致するようにオブジェクト暗号鍵を変換します (現在一致していない場合)。
例えば、daosencmgr を使用して共有暗号鍵によりオブジェクトを再暗号化し、同じ共有鍵を使用するように構成されている任意のサーバーでオブジェクトを使用できるようにします。共有暗号鍵を使用すると、あるサーバーから別のサーバーにオブジェクトをコピーすることや、複数の Domino サーバーに対して 1 つのバックアップを使用することができます。
多くの場合、daosencmgr は一定期間使用し、サーバーの DAOS オブジェクト暗号化設定に一致するように鍵が変換された後、daosencmgr を定期的に実行する必要はありません。
オプション | 説明 |
---|---|
list -O <outfile> all |
サーバーコンソールで次の情報をリストします。
all オプションを使用すると、サーバーの現在の DAOS 暗号化設定に一致しない S3 ストレージ内の Tier 2 オブジェクトを追加でリストできます。Tier 2 オブジェクトが多数存在する場合、コマンドが完了するまで時間がかかる場合があります。 -O <outfile> オプションを使用すると、出力される DAOS オブジェクトファイルをサーバーコンソールではなくファイルにリストできます。明示的なファイルパス、またはデータディレクトリからの相対ファイルパスを指定します。 |
convert-O <outfile> -t <hours> -k <nlokey> -V |
構成済みの暗号強度と暗号鍵を使用するように、サーバーの現在の DAOS オブジェクト暗号化設定と一致しないサーバー上のローカルオブジェクトを再暗号化します。
注: Tier 2 オブジェクト (S3 ストレージ内のオブジェクト) の再暗号化はサポートされていません。 メッセージによって、オブジェクトが再暗号化不可能か再暗号化可能かが示されます。これは、資格情報ストアで暗号鍵が使用できなくなった場合、オブジェクトが Tier 2 ストレージ内にある場合、または現在の暗号化情報が使用できない場合に発生する可能性があります。 -t <hours> を使用すると、指定した時間だけ convert を実行できます。再暗号化を必要とするオブジェクトが多数ある場合は、このオプションを使用して、一括での再暗号化を調整します。-t が未指定の場合、時間制限なしになります。 -k <nlokey> オプションを使用すると、サーバーの現在の DAOS オブジェクト暗号化設定に一致するように単一の .nlo ファイルを再暗号化できます。.nlo 拡張子は指定しないでください。 -O <outfile> オプションを使用すると、変換された .nlo ファイルをサーバーコンソールではなくファイルにリストできます。明示的なファイルパス、またはデータディレクトリからの相対ファイルパスを指定します。 -V オプションを使用すると、詳細出力を有効にできます。これにより、試行された各変換のステータスが表示されます。 |
例
![load daosencmgr list コマンドのコンソール出力の例。次の後に説明されている番号付きの鍵があります:](list.jpg)
- 1 サーバー文書内の DAOS オブジェクト暗号化設定。
- 2 このサーバー上の DAOS オブジェクトの暗号化に使用された暗号化方式と鍵の概要と、固有の各暗号化方式と鍵を使用したオブジェクトの数。
- 3 convert で再暗号化できる、DAOS オブジェクトの暗号化設定に一致しない鍵を持つ DAOS オブジェクト。暗号鍵 ID によってグループ化されます。
- 4 convert で再暗号化できない、DAOS オブジェクトの暗号化設定に一致しない鍵を持つ DAOS オブジェクト。
![load daosencmgr list outfile コマンドのコンソール出力の例](listoutfile.jpg)
![次のコンソール出力の例: load daosencmgr convert -k <objectkey>](convertkv.jpg)