IBM Cloud Docs
リカバリー暗号化ユニットを使用してマスターキーをローテーションできないのはなぜですか。

リカバリー暗号化ユニットを使用してマスターキーをローテーションできないのはなぜですか。

リカバリー暗号化ユニットを使用してマスター・キーをローテーションするために ibmcloud tke auto-mk-rotate コマンドを実行すると、ローテーションを完了できない場合があります。

マスター鍵のローテーション時には、新規マスター鍵レジスターに、使用すべき新規マスター鍵の値がロードされます。 現行マスター鍵と新規マスター鍵の値を使用して、鍵ストレージの内容が再暗号化されます。 鍵ストレージの再暗号化が完了すると、新しいマスター鍵の値が現行のマスター鍵レジスターにプロモートされ、新しいマスター鍵レジスターがクリアされます。

マスターキーをローテーションする方法について詳しくは、リカバリー暗号化ユニットを使用したマスターキーのローテーションを参照してください。

マスター鍵のローテーション中にエラーが発生した場合に復旧するために取るべき処置は、プロセスがどの程度完了しているかによって異なります。 不適切な復旧処置を行うと、鍵ストレージのマスター鍵の値が失われ、鍵ストレージの内容が使用できなくなる可能性があります。 取るべき復旧処置を判断するには、エラーが発生する前のコマンドの出力を注意深く確認する必要があります。

いくつかのエラーは、コマンドが鍵ストレージまたはマスター鍵レジスターの処理を開始する前に検出されます。 例えば、認証トークンの有効期限が切れている場合にはエラーが報告されます。 復旧するには、IBM Cloud にログインする必要があります。 同様に、コマンドを実行するために必要な初期状態が満たされていない場合には、エラーが報告されます。 適切な初期状態にしてからコマンドを再実行してください。

ibmcloud tke auto-mk-rotate コマンドでエラーとして報告される可能性がある初期状態を次に示します。

  • 鍵パーツ・ファイルを使用してマスター鍵をローテーションするときに、無効な暗号装置のセットが選択された。
  • 1 台以上の暗号装置がインプリント・モードである。
  • 各暗号装置に設定されている最低必要署名数が同じでない。
  • 最低必要署名数の値を満たせるだけの十分な人数の共通の管理者が、一部の暗号装置で選択および指名されていない。
  • 現行マスター鍵レジスターの一部が、同じ検証パターンでValid状態になっていない。
  • 鍵パーツ・ファイルを使用してマスター鍵をローテーションするときに、新規マスター鍵レジスターの一部が、同じ検証パターンでValid状態になっていない。

マスター鍵のローテーションが完了するまで、操作ワークロードは実行できません。

マスター鍵をローテーションする ibmcloud tke auto-mk-rotate コマンドを実行してエラーが発生した場合は、認証トークンの有効期限切れや事前検査に失格したことによるエラーかどうかを確認してください。 そうでない場合は、以下のメッセージが表示されているかどうかを確認してください。

  • 次のメッセージは、すべての新規マスター鍵レジスターに、ランダムに生成された新規マスター鍵の値が設定されたことを示しています。

    Delaying 30 seconds to allow server to discover new master key values

  • 以下のメッセージは、キー・ストレージの再暗号化が完了したことを示します。

    KMS CRK rewrap successful, waiting on cryptounit-mk-setimm

上記のメッセージが表示されているかどうかに応じて、以下のいずれかのタスクを実行してください。

  • どちらのメッセージも表示されていない場合は、ibmcloud tke auto-mk-rotate コマンドをもう一度実行すればエラーから復旧できます。 このコマンドを再実行することで、新規マスター鍵レジスターにランダムな新規マスター鍵の値がロードされ、前の値が上書きされます。 続いて、このコマンドによって鍵ストレージが再暗号化されます。 再暗号化が完了すると、新規マスター鍵レジスターの値が現行マスター鍵レジスターに移動され、新規マスター鍵レジスターは消去されます。

  • 1 つ目のメッセージは表示され、2 つ目のメッセージは表示されていない場合は、鍵ストレージの再暗号化が開始されています。 復旧するには、ibmcloud tke cryptounit-mk-rotate コマンドを実行してください。 このコマンドは、鍵ストレージを再暗号化する要求を発行して処理を最初からやり直しますが、新規マスター鍵レジスターのマスター鍵の値は置き換えません。

    ibmcloud tke auto-mk-rotate コマンドを再実行してはいけません。 再実行すると、鍵ストレージの内容が使用できなくなります。

  • 両方のメッセージが表示されている場合は、鍵ストレージの再暗号化が完了しています。 残りのステップは、新規マスター鍵レジスターの値を現行マスター鍵レジスターにプロモートすることだけです。 ibmcloud tke cryptounit-mks コマンドを実行します。 すべての新規マスター鍵レジスターが同じ検証パターンでValid状態であり、すべての現行マスター鍵レジスターが別の同じ検証パターンでValid状態であれば、ibmcloud tke cryptounit-mk-setimm コマンドを実行して、マスター鍵のローテーションを完了できます。

    一部の暗号化ユニットでは、新しいマスター・キーの値が現行のマスター・キー・レジスターに移動済みの場合は、ibmcloud tke cryptounit-rm コマンドを使用して暗号化ユニットをクリアします。 次に、ibmcloud tke cryptounit-mk-setimm コマンドを実行して、マスター・キーのローテーションを終了します。

    どちらの場合も、ibmcloud tke cryptounit-mk-setimm コマンドについての警告は無視して問題ありません。 鍵ストレージは、新規マスター鍵の値を受け入れられる状態にあります。