翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon FSx for NetApp ONTAP におけるデータ保護
AWS [責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)、Amazon FSx for NetApp ONTAP のデータ保護に適用されます。このモデルで説明されているように、 AWS はすべての を実行するグローバルインフラストラクチャを保護する責任があります AWS クラウド。ユーザーは、このインフラストラクチャでホストされるコンテンツに対する管理を維持する責任があります。また、使用する「 AWS のサービス 」のセキュリティ設定と管理タスクもユーザーの責任となります。データプライバシーの詳細については、[データプライバシーに関するよくある質問](https://aws.amazon.com/compliance/data-privacy-faq/)を参照してください。欧州でのデータ保護の詳細については、*AWS セキュリティブログ*に投稿された「[AWS 責任共有モデルおよび GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/)」のブログ記事を参照してください。
データ保護の目的で、認証情報を保護し AWS アカウント 、 AWS IAM アイデンティティセンター または AWS Identity and Access Management (IAM) を使用して個々のユーザーを設定することをお勧めします。この方法により、それぞれのジョブを遂行するために必要な権限のみが各ユーザーに付与されます。また、次の方法でデータを保護することもお勧めします:
+ 各アカウントで多要素認証 (MFA) を使用します。
+ SSL/TLS を使用して AWS リソースと通信します。TLS 1.2 は必須ですが、TLS 1.3 を推奨します。
+ で API とユーザーアクティビティのログ記録を設定します AWS CloudTrail。CloudTrail 証跡を使用して AWS アクティビティをキャプチャする方法については、「 *AWS CloudTrail ユーザーガイド*」の[CloudTrail 証跡の使用](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)」を参照してください。
+ AWS 暗号化ソリューションと、 内のすべてのデフォルトのセキュリティコントロールを使用します AWS のサービス。
+ Amazon Macie などの高度な管理されたセキュリティサービスを使用します。これらは、Amazon S3 に保存されている機密データの検出と保護を支援します。
+ コマンドラインインターフェイスまたは API AWS を介して にアクセスするときに FIPS 140-3 検証済み暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。利用可能な FIPS エンドポイントの詳細については、「[連邦情報処理規格 (FIPS) 140-3](https://aws.amazon.com/compliance/fips/)」を参照してください。
お客様の E メールアドレスなどの極秘または機密情報を、タグ、または **[名前]** フィールドなどの自由形式のテキストフィールドに含めないことを強くお勧めします。これは、コンソール、API、または SDK を使用して Amazon FSx AWS CLIまたは他の AWS のサービス を使用する場合も同様です。 AWS SDKs タグ、または名前に使用される自由記述のテキストフィールドに入力したデータは、請求または診断ログに使用される場合があります。外部サーバーに URL を提供する場合、そのサーバーへのリクエストを検証できるように、認証情報を URL に含めないことを強くお勧めします。
## FSx for ONTAP でのデータ暗号化
Amazon FSx for NetApp ONTAP では、保管中のデータの暗号化と転送中のデータの暗号化がサポートされています。保管中のデータの暗号化は、Amazon FSx ファイルシステムの作成時に自動的に有効になります。Amazon FSx for NetApp ONTAP は、Active Directory に結合しているか、Lightweight Directory Access Protocol (LDAP) を使用するドメインに結合している Storage Virtual Machine (SVM) 内のデータにアクセスする場合、NFS および SMB プロトコル経由で転送中の Kerberos ベースの暗号化をサポートします。
### 暗号化を使用するタイミング
ユーザーの組織が、保管中のデータとメタデータの暗号化が必要な企業または規制ポリシーの対象となる場合は、データは保管中に自動的に暗号化されます。また、転送中のデータの暗号化を使用してファイルシステムをマウントすることにより転送中のデータの暗号化を有効にすることも、推奨されています。
Amazon FSx for NetApp ONTAP によるデータ暗号化の詳細については、「[保管中のデータの暗号化](encryption-at-rest.md)」および「[Encrypting data in transit](encryption-in-transit.md)」を参照してください。
# 保管中のデータの暗号化
すべての Amazon FSx for NetApp ONTAP ファイルシステムおよびバックアップは、 AWS Key Management Service (AWS KMS) を使用して管理されるキーにより保存中に暗号化されます。データはファイルシステムに書き込まれる前に自動的に暗号化され、読み取り時に自動的に復号化されます。すべてのバックアップは作成時に自動的に暗号化され、バックアップが新しいボリュームに復元されると自動的に復号されます。このプロセスは Amazon FSx で透過的に処理されるため、アプリケーションを変更する必要はありません。
Amazon FSx は、業界標準の AES-256 暗号化アルゴリズムを使用して、保存中の Amazon FSx データとメタデータを暗号化します。詳細については、「AWS Key Management Service デベロッパーガイド」の「[暗号化のベーシック](https://docs.aws.amazon.com/kms/latest/developerguide/crypto-intro.html)」を参照してください。
**注記**
AWS キー管理インフラストラクチャは、連邦情報処理標準 (FIPS) 140-2 で承認された暗号化アルゴリズムを使用します。このインフラストラクチャは、米国標準技術局 (NIST) 800-57 レコメンデーションに一致しています。
## Amazon FSx が を使用する方法 AWS KMS
Amazon FSx は、キー管理 AWS KMS のために と統合されています。Amazon FSx は KMS キーを使用してファイルシステムおよびあらゆるボリュームバックアップを暗号化します。ファイルシステムおよびボリュームバックアップ (データとメタデータの両方) の暗号化と復号化に使用する KMS キーを選択します。この KMS キーの許可を有効化、無効化、または削除することができます。この KMS キーは、以下の 2 つのタイプのいずれかになります。
+ **AWSマネージド KMS キー** - これはデフォルトの KMS キーで、自由に使用できます。
+ **カスタマーマネージド CMK** - これは、キーポリシーと許可を複数のユーザーまたはサービスに設定できる、最も柔軟性のある KMS キーです。KMS キーの作成の詳細については、「 * AWS Key Management Service デベロッパーガイド*」の[「キーの作成](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)」を参照してください。
**重要**
Amazon FSx は、KMS の対称暗号化キーのみを受け入れます。Amazon FSx では、非対称 KMS キーを使用することはできません。
顧客が管理する KMS キーをファイルデータ暗号化と復号化の KMS キーとして使用する場合は、キーローテーションを有効にできます。キーローテーションを有効にすると、 AWS KMS は、1 年に 1 回、キーを自動的にローテーションします。また、カスタマーマネージド KMS キーでは、KMS キーへのアクセスの無効化、再有効化、削除、取り消しのタイミングを随時選択できます。詳細については、「AWS Key Management Service デベロッパーガイドの [ローテーション AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html)」および「[キーの有効化と無効化](https://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys.html)」を参照してください。
## の Amazon FSx キーポリシー AWS KMS
キーポリシーは、KMS キーへのアクセスをコントロールするための主要な方法です。キーポリシーの詳細については、「AWS Key Management Service デベロッパーガイド」の「[AWS KMSの キーポリシーの使用](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)」を参照してください。次のリストは、Amazon FSx でサポートされている保管時の暗号化ファイルシステムとバックアップに関連するすべての AWS KMSアクセス許可を示しています。
+ **kms:Encrypt** - (オプション) プレーンテキストを暗号化テキストに暗号化します。この許可は、デフォルトのキーポリシーに含まれています。
+ **kms:Decrypt** - (必須) 暗号化テキストを復号します。暗号文は、以前に暗号化されたプレーンテキストです。このアクセス許可は、デフォルトのキーポリシーに含まれています。
+ **kms:ReEncrypt** – (オプション) クライアント側のデータのプレーンテキストを公開することなく AWS KMS key、サーバー側のデータを新しい で暗号化します。データは最初に復号化され、次に再暗号化されます。この許可は、デフォルトのキーポリシーに含まれています。
+ **kms:GenerateDataKeyWithoutPlaintext** - (必須) KMS キーで暗号化されたデータ暗号化キーを返します。この許可は、**kms:GenerateDataKey\$1** のデフォルトのキーポリシーに含まれています。
+ **kms:CreateGrant** - (必須) キーを使用できるユーザーとその条件を指定する許可をキーに付与します。付与は、主要なポリシーに対する代替の許可メカニズムです。権限の詳細については、「*AWS Key Management Service 開発者ガイド*」の「[権限の使用](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)」を参照してください。この許可は、デフォルトのキーポリシーに含まれています。
+ **kms:DescribeKey** - (必須) 指定された KMS キーに関する詳細情報を提供します。この許可は、デフォルトのキーポリシーに含まれています。
+ **kms:ListAliases** - (オプション) アカウント内のキーエイリアスをすべて一覧表示します。コンソールを使用して暗号化されたファイルシステムを作成すると、このアクセス許可が KMS キーのリストに追加されます。最高のユーザーエクスペリエンスを提供するためには、この許可の使用をお勧めします。このアクセス許可は、デフォルトのキーポリシーに含まれています。
# Encrypting data in transit
このトピックでは、FSx for ONTAP ファイルシステムと、接続されたクライアントとの間で、転送中のファイルデータを暗号化する際に使用できるさまざまなオプションについて説明します。また、ワークフローに最適な暗号化方法を選択するためのガイダンスも提供します。
AWS グローバルネットワーク AWS リージョン を経由するすべてのデータは、 AWS 保護された施設を離れる前に、物理レイヤーで自動的に暗号化されます。アベイラビリティーゾーン間のトラフィックは、すべて暗号化されます。追加的な暗号化レイヤーでは、このセクションに記載されているもの以外にも、保護が提供されています。 AWS が、、利用可能なゾーン AWS リージョン、インスタンスをまたいで流れるデータを保護する方法の詳細については、「Linux インスタンス用 Amazon Elastic Compute Cloud ユーザーガイド」の[「転送中の暗号化](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit)」を参照してください。
Amazon FSx for NetApp ONTAP は、FSx for ONTAP ファイルシステムと、接続されたクライアントとの間で転送中のデータを暗号化するための、次の方法をサポートしています。
+ サポートされているすべてのプロトコルと、サポートされている Amazon EC2 [Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit) および [Windows](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/data-protection.html#encryption-transit) インスタンスタイプで実行されているクライアントに対して、Nitro ベースの自動暗号化を行います。
+ NFS および SMB プロトコル上での Kerberos ベースの暗号化。
+ NFS、iSCSI、SMB プロトコル上での IPsec ベースの暗号化
転送中のデータを暗号化するための、サポートされている方法はすべて、エンタープライズレベルの強固な暗号化を実現する業界標準、AES-256 暗号化アルゴリズムを使用しています。
**Topics**
+ [転送中のデータを暗号化する方法を選ぶ](#choosing-encryption-in-transit)
+ [AWS Nitro System を使用した転送中のデータの暗号化](#nitro-encryption)
+ [Kerberos ベースの暗号化を使用した転送中のデータの暗号化](#kerberos-encryption)
+ [IPsec 暗号化を使用した転送中のデータの暗号化](#ipsec-encryption)
+ [転送中のデータの SMB 暗号化の有効化](enable-smb-encryption.md)
+ [PSK 認証を使用した IPsec の設定](config-ipsec-psk-auth.md)
+ [証明書の認証を使用した IPsec の設定](config-ipsec-ca-auth.md)
## 転送中のデータを暗号化する方法を選ぶ
このセクションでは、サポートされている転送時の暗号化方法のどれがワークフローに最適であるかを判断する際に役立つ情報を紹介します。この後のセクションで、サポートされているオプションについて詳しく説明する際に、このセクションを再度参照します。
FSx for ONTAP ファイルシステムと接続されたクライアントとの間で転送中のデータを暗号化する方法を選ぶ際、考慮すべき要素がいくつかあります。以下のような要素です。
+ AWS リージョン FSx for ONTAP ファイルシステムが実行されている 。
+ クライアントが実行中のインスタンスタイプ。
+ ファイルシステムにアクセスしているクライアントの場所。
+ ネットワークパフォーマンスの要件。
+ 暗号化しようとしているデータプロトコル。
+ Active Directory を使用しているかどうか。
**AWS リージョン**
ファイルシステムが実行中の によって、Amazon Nitro ベースの暗号化を使用できるかどうかが決まり AWS リージョン ます。詳細については、「[AWS Nitro System を使用した転送中のデータの暗号化](#nitro-encryption)」を参照してください。
**クライアントのインスタンスタイプ**
ファイルシステムにアクセスしているクライアントが、サポートされている Amazon EC2 Mac、[Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit)、[Windows](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/data-protection.html#encryption-transit) インスタンスタイプのいずれかで実行されており、ワークフローが [Nitro ベースの暗号化](#nitro-encryption)を使用するためのその他すべての要件を満たしている場合、Amazon Nitro ベースの暗号化を使用できます。Kerberos または IPsec 暗号化を使用するための、クライアントインスタンスタイプの要件はありません。
**クライアントの場所**
ファイルシステムの場所に対してデータにアクセスしているクライアントの場所は、使用できる転送中の暗号化の方法に影響します。クライアントとファイルシステムが同じ VPC にある場合は、サポートされている暗号化方法をどれでも使用できます。クライアントとファイルシステムが、ピア接続された VPC 内にある場合も、トラフィックが仮想ネットワークのデバイスまたはサービス (Transit Gateway など) を通過しない限り、同様です。Nitro ベースの暗号化は、クライアントが同じ VPC かピア接続された VPC にない場合、またはトラフィックが仮想ネットワークのデバイスまたはサービスを通過しない場合は、使用できません。
**ネットワークパフォーマンス**
Amazon Nitro ベースの暗号化を使用しても、ネットワークのパフォーマンスには影響しません。これは、サポートされている Amazon EC2 インスタンスが、基盤となる Nitro System ハードウェアのオフロード機能を使って、インスタンス間の転送中のトラフィックを自動的に暗号化するためです。
Kerberos または IPsec 暗号化を使用すると、ネットワークのパフォーマンスに影響します。これは、これらの暗号化の方法がともにソフトウェアベースであり、クライアントとサーバーが転送中のトラフィックを暗号化および復号化するためにはコンピューティングリソースを使う必要があるためです。
**データプロトコル**
Amazon Nitro ベースの暗号化と IPsec 暗号化は、サポートされているすべてのプロトコル (NFS、SMB、iSCSI) で使用することができます。Kerberos 暗号化は、NFS プロトコルと SMB プロトコル (Active Directory を使用) で使用できます。
**Active Directory**
Microsoft Active Directory を使用している場合、NFS プロトコルと SMB プロトコルで [Kerberos 暗号化](#kerberos-encryption)を使用できます。
次の図は、どの転送中の暗号化方法を使用すればよいかを判断するのに役立ちます。
![\[5 つの判断ポイントに基づいて、どの転送時の暗号化方法を使用すればよいかを示すフローチャート。\]](http://docs.aws.amazon.com/ja_jp/fsx/latest/ONTAPGuide/images/fsx-ontap-encrypt-n-transit-decision-flow.png)
IPsec 暗号化は、以下のすべての条件がワークフローに当てはまる場合に使用できる、唯一の選択肢です。
+ NFS、SMB、iSCSI のいずれかのプロトコルを使用している。
+ ワークフローは Amazon Nitro ベースの暗号化の使用をサポートしていない。
+ Microsoft アクティブディレクトリドメインを使用していない。
## AWS Nitro System を使用した転送中のデータの暗号化
Nitro ベースの暗号化では、ファイルシステムにアクセスするクライアントが、FSx for ONTAP で使用できる でサポートされている Amazon EC2 [Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit) または [Windows](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/data-protection.html#encryption-transit) インスタンスタイプ AWS リージョン で実行されている場合、転送中のデータは自動的に暗号化されます。
Amazon Nitro ベースの暗号化を使用しても、ネットワークのパフォーマンスには影響しません。これは、サポートされている Amazon EC2 インスタンスが、基盤となる Nitro System ハードウェアのオフロード機能を使って、インスタンス間の転送中のトラフィックを自動的に暗号化するためです。
Nitro ベースの暗号化は、サポートされているクライアントインスタンスタイプが、同じ AWS リージョン にあるか、ファイルシステムの VPC とピア接続されている同じ VPC にあるときに、自動的に有効になります。さらに、クライアントが、ピア接続された VPC 内にある場合、Nitro ベースの暗号化を自動的に有効にするために、データは、仮想ネットワークのデバイスまたはサービス (Transit Gateway など) を通過することができません。Nitro ベースの暗号化に関する詳細は、Amazon EC2 の [Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit) または [Windows](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/data-protection.html#encryption-transit) インスタンス用ユーザーガイドの「転送中の暗号化」を参照してください。
次の表は、Nitro ベースの暗号化 AWS リージョン が利用可能な の詳細を示しています。
**ニトロベースの暗号化のサポート**
| [Generation] (生成) | デプロイタイプ | AWS リージョン |
| --- | --- | --- |
| 第 1 世代ファイルシステム 1 | シングル AZ 1 マルチ AZ 1 | 米国東部 (バージニア北部)、米国東部 (オハイオ)、米国西部 (オレゴン)、欧州 (アイルランド) |
| 第 2 世代ファイルシステム | シングル AZ 2 マルチ AZ 2 | 米国東部 (バージニア北部)、米国東部 (オハイオ)、米国西部 (北カリフォルニア)、米国西部 (オレゴン)、欧州 (フランクフルト)、欧州 (アイルランド)、アジアパシフィック (シドニー) |
1 2022 年 11 月 28 日以降に作成された第 1 世代ファイルシステムは、リストされている AWS リージョンで Nitro ベースの転送中の暗号化をサポートしています。
FSx for ONTAP AWS リージョン が利用可能な の詳細については、[「Amazon FSx for NetApp ONTAP の料金](https://aws.amazon.com/fsx/netapp-ontap/pricing/)」を参照してください。
FSx for ONTAP ファイルシステムのパフォーマンスの仕様の詳細については、[スループット容量がパフォーマンスに与える影響](performance.md#impact-throughput-cap-performance) を参照してください。
## Kerberos ベースの暗号化を使用した転送中のデータの暗号化
Microsoft Active Directory を使用している場合は、NFS プロトコルと SMB プロトコル経由で Kerberos ベースの暗号化を使用して、[Active Directory に追加された SVM](ad-integration-ontap.md) の子ボリュームの、転送中のデータを暗号化することができます。
### Kerberos を使用して NFS 経由で転送中のデータを暗号化する
Kerberos を使用した転送中のデータの暗号化は、NFSv3 プロトコルと NFSv4 プロトコルでサポートされています。NFS プロトコルに Kerberos を使用して、転送中の暗号化を有効にする方法については、NetApp ONTAP ドキュメンテーションセンターの「[Using Kerberos with NFS for strong security](https://docs.netapp.com/us-en/ontap/pdfs/sidebar/Using_Kerberos_with_NFS_for_strong_security.pdf)」を参照してください。
### Kerberos を使用して SMB 経由で転送中のデータを暗号化する
SMB プロトコル経由の、転送中のデータの暗号化は、SMB プロトコル 3.0 以降をサポートしているコンピューティングインスタンスにマップされた、ファイル共有でサポートされています。これには、Microsoft Windows Server 2012 以降 および Microsoft Windows 8 以降のすべての Microsoft Windows のバージョンが含まれます。有効にすると、ユーザーがアプリケーションを変更することなく、FSx for ONTAP はファイルシステムにアクセスする際にSMB 暗号化を使用して転送中のデータを自動的に暗号化します。
FSx for ONTAP SMB は 128 ビットと 256 ビットの暗号化をサポートしています。いずれになるかは、クライアントセッションのリクエストによって決まります。さまざまな暗号化レベルの詳細については、NetApp ONTAP ドキュメントセンターの「[Manage SMB with the CLI](https://docs.netapp.com/us-en/ontap/pdfs/sidebar/Manage_SMB_with_the_CLI.pdf)」にある「*Set the SMB server minimum authentication security level*」のセクションを参照してください。
**注記**
暗号化アルゴリズムはクライアントによって決まります。NTLM と Kerberos 認証は、どちらも 128 ビットと 256 ビットの両方の暗号化で動作します。FSx for ONTAP SMB Server は、すべてのスタンダード Windows クライアントリクエストを受け入れ、きめ細かいコントロールは Microsoft グループポリシーまたはレジストリ設定によって処理されます。
ONTAP CLI を使用して、ONTAP SVM およびボリュームの FSx の転送中の暗号化設定を管理します。NetApp ONTAP CLI にアクセスするには、[ONTAP CLI を使用した SVM の管理](managing-resources-ontap-apps.md#vsadmin-ontap-cli) の説明に従って、転送中の暗号化設定を行う SVM で SSH セッションを確立します。
SVM またはボリュームで SMB 暗号化を有効にする方法については、「[転送中のデータの SMB 暗号化の有効化](enable-smb-encryption.md)」を参照してください。
## IPsec 暗号化を使用した転送中のデータの暗号化
FSx for ONTAP は転送モード中の IPsec プロトコルの使用をサポートしているため、転送中でもデータを継続的に保護し暗号化することができます。IPsec は、サポートされているすべての IP トラフィック (NFS、iSCSI、SMB プロトコル) で、クライアントと FSx for ONTAP ファイルシステム間で転送中のデータをエンドツーエンドで暗号化します。IPsec 暗号化を使用すると、IPsec が有効に設定された FSx for ONTAP SVM と、データにアクセスする接続クライアントで実行中の IPsec クライアントとの間に、IPsec トンネルが確立されます。
[Nitro ベースの暗号化](#nitro-encryption)をサポートしていないクライアントからデータにアクセスするときや、クライアントと SVM が Active Directory (Kerberos ベースの暗号化に必要) に接続されていない場合は、IPsec を使用して NFS、SMB、iSCSI プロトコル経由で転送中のデータを暗号化することが推奨されます。iSCSI クライアントが Nitro ベースの暗号化をサポートしていない場合、iSCSI トラフィックで転送中のデータを暗号化するには、IPsec 暗号化しか使用できません。
IPsec 認証には、事前共有キー (PSK) または証明書のいずれかを使用できます。PSK を使う場合、使用する IPsec クライアントは、PSK を持つインターネットキー交換のバージョン 2 (IKEv2) をサポートしている必要があります。FSx for ONTAP とクライアントの両方で、IPsec 暗号化を設定する高レベルの手順は、次のとおりです。
1. ファイルシステムで IPsec を有効にし、設定します。
1. クライアントに IPsec をインストールし、設定します。
1. 複数のクライアントアクセス用に IPsec を設定します。
PSK を使用して IPsec を設定する方法の詳細については、NetApp ONTAP ドキュメンテーションセンターの「[Configure IP security (IPsec) over wire encryption](https://docs.netapp.com/us-en/ontap/networking/configure_ip_security_@ipsec@_over_wire_encryption.html)」を参照してください。
コンソールを使用して IPsec を設定する方法の詳細については、「[証明書の認証を使用した IPsec の設定](config-ipsec-ca-auth.md)」を参照してください。
# 転送中のデータの SMB 暗号化の有効化
デフォルトでは、SVM を作成すると SMB 暗号化はオフになります。個々の共有で必要な SMB 暗号化を有効にするか、SVM 上のすべての共有に対して有効にする SVM 上で有効にできます。
**注記**
SVM または共有で SMB 暗号化リクエストが有効になっている場合、暗号化をサポートしない SMB クライアントはその SVM または共有に接続できなくなります。
**SVM の着信 SMB トラフィックに SMB 暗号化をリクエストするには**
NetApp ONTAP CLI を使用して SVM で SMB 暗号化をリクエストするには、次の手順を実行します。
1. SVM の管理エンドポイントに SSH で接続するには、SVM の作成時に設定した `vsadmin` ユーザーネームと vsadmin パスワードを使用します。vsadmin パスワードを設定していない場合は、ユーザーネーム `fsxadmin` と fsxadmin のパスワードを使用します。管理エンドポイントの IP アドレスまたは DNS 名を使用して、ファイルシステムと同じ VPC にあるクライアントから SVM に SSH 接続できます。
```
ssh vsadmin@svm-management-endpoint-ip-address
```
サンプル値を含むコマンド:
```
ssh vsadmin@198.51.100.10
```
管理エンドポイントの DNS 名を使用した SSH コマンド:
```
ssh vsadmin@svm-management-endpoint-dns-name
```
サンプル DNS 名を使用した SSH コマンド
```
ssh vsadmin@management.svm-abcdef01234567892fs-08fc3405e03933af0.fsx.us-east-2.aws.com
```
```
Password: vsadmin-password
This is your first recorded login.
FsxIdabcdef01234567892::>
```
1. SVM への着信 SMB トラフィックに SMB 暗号化をリクエストするには、[https://docs.netapp.com/us-en/ontap-cli-9131/vserver-cifs-security-modify.html](https://docs.netapp.com/us-en/ontap-cli-9131/vserver-cifs-security-modify.html) NetApp ONTAP CLI コマンドを使用します。
```
vserver cifs security modify -vserver vserver_name -is-smb-encryption-required true
```
1. 着信 SMB トラフィックに対する SMB 暗号化のリクエストを停止するには、次のコマンドを使用します。
```
vserver cifs security modify -vserver vserver_name -is-smb-encryption-required false
```
1. SVM の現在の `is-smb-encryption-required` 設定を表示するには、[https://docs.netapp.com/us-en/ontap-cli-9131/vserver-cifs-security-show.html](https://docs.netapp.com/us-en/ontap-cli-9131/vserver-cifs-security-show.html) NetApp ONTAP CLI コマンドを使用します。
```
vserver cifs security show -vserver vs1 -fields is-smb-encryption-required
vserver is-smb-encryption-required
-------- -------------------------
vs1 true
```
SVM での SMB 暗号化の管理の詳細については、NetApp ONTAP ドキュメントセンターの「[Configuring required SMB encryption on SMB servers for data transfers over SMB](https://docs.netapp.com/us-en/ontap/smb-admin/configure-required-encryption-concept.html)」を参照してください。
**ボリュームで SMB 暗号化を有効にするには**
NetApp ONTAP CLI を使用して共有で SMB 暗号化を有効にするには、次の手順を使用します。
1. [ONTAP CLI を使用した SVM の管理](managing-resources-ontap-apps.md#vsadmin-ontap-cli) の説明に従って、SVM の管理エンドポイントに secure shell (SSH) 接続を確立します。
1. 新しい SMB 共有を作成し、この共有にアクセスするときに SMB 暗号化をリクエストするには、次の NetApp ONTAP CLI コマンドを使用します。
```
vserver cifs share create -vserver vserver_name -share-name share_name -path share_path -share-properties encrypt-data
```
詳細については、NetApp ONTAP CLI コマンドのマニュアルページの「[https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__create.html](https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__create.html)」を参照してください。
1. 既存の SMB 共有で SMB 暗号化をリクエストするには、次のコマンドを使用します。
```
vserver cifs share properties add -vserver vserver_name -share-name share_name -share-properties encrypt-data
```
詳細については、NetApp ONTAP CLI コマンドのマニュアルページの「[https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__properties__add.html](https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__properties__add.html)」を参照してください。
1. 既存の SMB 共有で SMB 暗号化を無効にするには、次のコマンドを使用します。
```
vserver cifs share properties remove -vserver vserver_name -share-name share_name -share-properties encrypt-data
```
詳細については、NetApp ONTAP CLI コマンドのマニュアルページの「[https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__properties__remove.html](https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__properties__remove.html)」を参照してください。
1. SMB 共有の現在の `is-smb-encryption-required` 設定を確認するには、次の NetApp ONTAP CLI コマンドを使用します。
```
vserver cifs share properties show -vserver vserver_name -share-name share_name -fields share-properties
```
このコマンドによって返されたプロパティの 1 つが `encrypt-data` プロパティの場合、この共有にアクセスするときに SMB 暗号化を使用する必要があることがそのプロパティによって指定されます。
詳細については、NetApp ONTAP CLI コマンドのマニュアルページの「[https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__properties__show.html](https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__properties__show.html)」を参照してください。
# PSK 認証を使用した IPsec の設定
認証に PSK を使用する場合、FSx for ONTAP とクライアントの両方で IPsec 暗号化を設定する手順は、次のとおりです。
1. ファイルシステムで IPsec を有効にし、設定します。
1. クライアントに IPsec をインストールし、設定します。
1. 複数のクライアントアクセス用に IPsec を設定します。
PSK を使用して IPsec を設定する方法の詳細については、NetApp ONTAP ドキュメンテーションセンターの「[Configure IP security (IPsec) over wire encryption](https://docs.netapp.com/us-en/ontap/networking/configure_ip_security_@ipsec@_over_wire_encryption.html)」を参照してください。
# 証明書の認証を使用した IPsec の設定
次のトピックでは、FSx for ONTAP ファイルシステムと、Libreswan IPsec を実行しているクライアントで、証明書の認証を使用して IPsec 暗号化を設定する方法について説明します。このソリューションでは AWS Private Certificate Authority 、 AWS Certificate Manager と を使用してプライベート認証機関を作成し、証明書を生成します。
FSx for ONTAP ファイルシステムと接続されたクライアントの両方で、証明書の認証を使用して IPsec 暗号化を設定する高レベルの手順は、次のとおりです。
1. 証明書を発行するための認証機関を用意します。
1. ファイルシステムとクライアントの CA 証明書を生成し、エクスポートします。
1. 証明書をインストールし、クライアントインスタンスに IPsec を設定します。
1. 証明書をインストールし、お使いのファイルシステムに IPsec を設定します。
1. セキュリティポリシーデータベース (SPD) を定義します。
1. 複数のクライアントアクセス用に IPsec を設定します。
## CA 証明書の作成とインストール
証明書の認証を行うには、認証機関の証明書を生成して、FSx for ONTAP ファイルシステムと、ファイルシステムのデータにアクセスするクライアントに、インストールする必要があります。次の例では、 AWS Private Certificate Authority を使用してプライベート認証機関を設定し、ファイルシステムとクライアントにインストールする証明書を生成します。を使用すると AWS Private Certificate Authority、組織内で使用するために、ルート認証機関と下位認証機関 (CAsの完全に AWS ホストされた階層を作成できます。このプロセスは、次の 5 つのステップから成ります。
1. を使用してプライベート認証機関 (CA) を作成する AWS Private CA
1. ルート証明書を発行してプライベート CA にインストールします。
1. ファイルシステムとクライアント AWS Certificate Manager 用に からプライベート証明書をリクエストする
1. ファイルシステムとクライアントの証明書をエクスポートします。
詳細については、「 AWS Private Certificate Authority ユーザーガイド」の[「プライベート CA 管理](https://docs.aws.amazon.com/privateca/latest/userguide/creating-managing.html)」を参照してください。
**ルートプライベート CA を作成するには**
1. CA を作成するときは、指定したファイルで CA 設定を指定する必要があります。次のコマンドは、テキストエディタの nano を使用して `ca_config.txt` ファイルを作成します。このファイルでは以下の情報が指定されています。
+ アルゴリズムの名前
+ CA が署名に使用する署名アルゴリズム
+ X.500 件名情報
```
$ > nano ca_config.txt
```
テキストエディタが表示されます。
1. CA の仕様に合わせてファイルを編集します。
```
{
"KeyAlgorithm":"RSA_2048",
"SigningAlgorithm":"SHA256WITHRSA",
"Subject":{
"Country":"US",
"Organization":"Example Corp",
"OrganizationalUnit":"Sales",
"State":"WA",
"Locality":"Seattle",
"CommonName":"*.ec2.internal"
}
}
```
1. ファイルを保存て閉じ、テキストエディタを終了します。詳細については、「 AWS Private Certificate Authority ユーザーガイド[」の「CA を作成する手順](https://docs.aws.amazon.com/privateca/latest/userguide/Create-CA-CLI.html)」を参照してください。
1. [create-certificate-authority](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/create-certificate-authority.html) AWS Private CA CLI コマンドを使用して、プライベート CA を作成します。
```
~/home > aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config.txt \
--certificate-authority-type "ROOT" \
--idempotency-token 01234567 --region aws-region
```
作成されると、このコマンドは CA の Amazon リソースネーム (ARN) を出力します。
```
{
"CertificateAuthorityArn": "arn:aws:acm-pca:aws-region:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012"
}
```
**プライベートルート CA の証明書を作成してインストールするには (AWS CLI)**
1. AWS CLI コマンドを使用して証明書署名リクエスト (CSR) [https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate-authority-csr.html](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate-authority-csr.html) を生成します。
```
$ aws acm-pca get-certificate-authority-csr \
--certificate-authority-arn arn:aws:acm-pca:aws-region:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012 \
--output text \
--endpoint https://acm-pca.aws-region.amazonaws.com \
--region eu-west-1 > ca.csr
```
生成されたファイル `ca.csr` は base64 形式でエンコードされた PEM ファイルで、次のような外見をしています。
```
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
```
詳細については、[「 ユーザーガイド」の「ルート CA 証明書](https://docs.aws.amazon.com/privateca/latest/userguide/PCACertInstall.html#InstallRoot)のインストール」を参照してください。 AWS Private Certificate Authority
1. [https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html) AWS CLI コマンドを使用して、プライベート CA にルート証明書を発行してインストールします。
```
$ aws acm-pca issue-certificate \
--certificate-authority-arn arn:aws:acm-pca:aws-region:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012 \
--csr file://ca.csr \
--signing-algorithm SHA256WITHRSA \
--template-arn arn:aws:acm-pca:::template/RootCACertificate/V1 \
--validity Value=3650,Type=DAYS --region aws-region
```
1. [https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate.html) AWS CLI コマンドを使用してルート証明書をダウンロードします。
```
$ aws acm-pca get-certificate \
--certificate-authority-arn arn:aws:acm-pca:aws-region:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012 \
--certificate-arn arn:aws:acm-pca:aws-region:486768734100:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/abcdef0123456789abcdef0123456789 \
--output text --region aws-region > rootCA.pem
```
1. [https://docs.aws.amazon.com/cli/latest/reference/acm-pca/import-certificate-authority-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/import-certificate-authority-certificate.html) AWS CLI コマンドを使用して、プライベート CA にルート証明書をインストールします。
```
$ aws acm-pca import-certificate-authority-certificate \
--certificate-authority-arn arn:aws:acm-pca:aws-region:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012 \
--certificate file://rootCA.pem --region aws-region
```
**ファイルシステムとクライアント証明書を生成し、エクスポートします。**
1. [https://docs.aws.amazon.com/cli/latest/reference/acm/request-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm/request-certificate.html) AWS CLI コマンドを使用して、ファイルシステムとクライアントで使用する AWS Certificate Manager 証明書をリクエストします。
```
$ aws acm request-certificate \
--domain-name *.ec2.internal \
--idempotency-token 12345 \
--region aws-region \
--certificate-authority-arn arn:aws:acm-pca:aws-region:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012
```
リクエストが成功すると、発行された証明書の ARN が返されます。
1. セキュリティ上の理由から、プライベートキーをエクスポートするときはパスフレーズを割り当てる必要があります。パスフレーズを作成し、`passphrase.txt` という名前のファイルに保存します。
1. [https://docs.aws.amazon.com/cli/latest/reference/acm/export-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm/export-certificate.html) AWS CLI コマンドを使用して、以前に発行されたプライベート証明書をエクスポートします。エクスポートしたファイルには、証明書、証明書チェーン、証明書に埋め込まれているパブリックキーに関連付けられた、暗号化されたプライベート 2048 ビット RSA キー、が含まれています。セキュリティ上の理由から、プライベートキーをエクスポートするときはパスフレーズを割り当てる必要があります。以下は、Linux EC2 インスタンスの場合の例です。
```
$ aws acm export-certificate \
--certificate-arn arn:aws:acm:aws-region:111122223333:certificate/12345678-1234-1234-1234-123456789012 \
--passphrase $(cat passphrase.txt | base64) --region aws-region > exported_cert.json
```
1. 次の `jq` コマンドを使用して、JSON レスポンスからプライベートキーと証明書を抽出します。
```
$ passphrase=$(cat passphrase.txt | base64)
cat exported_cert.json | jq -r .PrivateKey > prv.key
cat exported_cert.json | jq -r .Certificate > cert.pem
```
1. 次の `openssl` コマンドを使用して、JSON レスポンスからプライベートキーを復号します。コマンドを入力すると、パスフレーズの入力を求められます。
```
$ openssl rsa -in prv.key -passin pass:$passphrase -out decrypted.key
```
## Libreswan IPsec を Amazon Linux 2 クライアントにインストールし、設定する
以下のセクションでは、Amazon Linux 2 を実行している Amazon EC2 インスタンスに Libreswan IPsec をインストールし、設定する方法について説明します。
**Libreswan をインストールして設定するには**
1. SSH を使用して EC2 インスタンスに接続します。具体的な手順については、Amazon Elastic Compute Cloud Linux インスタンス用ユーザーガイドの「[SSH クライアントを使用して Linux インスタンスに接続する](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AccessingInstancesLinux.html#AccessingInstancesLinuxSSHClient)」を参照してください。
1. 次のコマンドを実行して `libreswan` をインストールします。
```
$ sudo yum install libreswan
```
1. (オプション) 後のステップで IPsec を検証する際、これらの設定を行っていないのにプロパティにフラグが付いていることがあります。これらの設定を行わずに、先にセットアップをテストしてみることをお勧めします。接続に問題があれば、このステップに戻って次の変更を施します。
インストールが完了したら、任意のテキストエディタを使って次のエントリを `/etc/sysctl.conf` ファイルに追加します。
```
net.ipv4.ip_forward=1
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.secure_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv4.conf.lo.accept_redirects = 0
net.ipv4.conf.lo.send_redirects = 0
net.ipv4.conf.all.rp_filter = 0
net.ipv4.conf.default.rp_filter = 0
net.ipv4.conf.eth0.rp_filter = 0
```
変更を保存して、テキストエディタを終了します。
1. 変更を適用します。
```
$ sudo sysctl -p
```
1. IPsec の設定を確認します。
```
$ sudo ipsec verify
```
インストールした `Libreswan` のバージョンが実行していることを確認します。
1. IPsec NSS データベースを初期化します。
```
$ sudo ipsec checknss
```
**証明書をクライアントにインストールするには**
1. クライアント用に[生成した証明書](#generate-certificate)を EC2 インスタンスの作業ディレクトリにコピーします。You
1. 前に生成した証明書を `libreswan` と互換性のある形式にエクスポートします。
```
$ openssl pkcs12 -export -in cert.pem -inkey decrypted.key \
-certfile rootCA.pem -out certkey.p12 -name fsx
```
1. 再フォーマットしたキーをインポートし、プロンプトが表示されたらパスフレーズを指定します。
```
$ sudo ipsec import certkey.p12
```
1. 任意のテキストエディタを使用して IPsec 設定ファイルを作成します。
```
$ sudo cat /etc/ipsec.d/nfs.conf
```
以下のエントリを設定ファイルに追加します。
```
conn fsxn
authby=rsasig
left=172.31.77.6
right=198.19.254.13
auto=start
type=transport
ikev2=insist
keyexchange=ike
ike=aes256-sha2_384;dh20
esp=aes_gcm_c256
leftcert=fsx
leftrsasigkey=%cert
leftid=%fromcert
rightid=%fromcert
rightrsasigkey=%cert
```
ファイルシステムで IPsec を設定したら、クライアントで IPsec を起動します。
## ファイルシステムで IPsec を設定する
このセクションでは、FSx for ONTAP ファイルシステムに証明書をインストールし、IPsec を設定する方法について説明します。
**証明書をファイルシステムにインストールするには**
1. ルート証明書 (`rootCA.pem)`、クライアント証明書 (`cert.pem`)、復号されたキー (`decrypted.key`) の各ファイルをファイルシステムにコピーします。証明書のパスフレーズを書き留めておく必要があります。
1. ONTAPCLI にアクセスするには、次のコマンドを実行して、Amazon FSx for NetApp ONTAP ファイルシステムまたは SVM の管理ポートで SSH セッションを確立します。`management_endpoint_ip` をファイルシステムの管理ポートの IP アドレスに置き換えます。
```
[~]$ ssh fsxadmin@management_endpoint_ip
```
詳細については、「[ONTAP CLI を使用したファイルシステムの管理](managing-resources-ontap-apps.md#fsxadmin-ontap-cli)」を参照してください。
1. 各ファイルの出力をコピーし、次のステップで画面に指示が出たときに貼り付けられるよう、(ファイルシステムではなく) クライアントで **cat** を使用して `rootCA.pem`、`cert.pem`、`decrypted.key` ファイルの内容を一覧表示します。
```
$ > cat cert.pem
```
証明書の内容をコピーします。
1. すでにインストールされている場合 (ONTAP 自己署名ルート CA のケースなど) を除き、相互認証時に使用されるすべての CA 証明書を、ONTAP 側およびクライアント側両方の CA を含め、ONTAP 証明書管理にインストールする必要があります。
`security certificate install` NetApp CLI コマンドを次のように使用して、クライアント証明書をインストールします。
```
FSxID123:: > security certificate install -vserver dr -type client -cert-name ipsec-client-cert
```
```
Please enter Certificate: Press when done
```
前にコピーした `cert.pem` ファイルの内容を貼り付け、Enter キーを押します。
```
Please enter Private Key: Press when done
```
前にコピーした `decrypted.key` ファイルの内容を貼り付け、Enter キーを押します。
```
Do you want to continue entering root and/or intermediate certificates {y|n}:
```
`n` を入力し、クライアント証明書の入力を完了します。
1. SVM で使用する証明書を作成し、インストールします。この証明書の発行者 CA は、既に ONTAP にインストールされ、 IPsec に追加されている必要があります。
以下のコマンドを使用して、ルート証明書をインストールします。
```
FSxID123:: > security certificate install -vserver dr -type server-ca -cert-name ipsec-ca-cert
```
```
Please enter Certificate: Press when done
```
前にコピーした `rootCA.pem` ファイルの内容を貼り付け、Enter キーを押します。
1. インストールされている CA が、認証中に IPsec CA 検索パス内に存在していることを確かめるには、security ipsec ca-certificate add コマンドを使って ONTAP 証明書管理 CA を IPsec モジュールに追加します。
以下のコマンドを入力し、ルート証明書を追加します。
```
FSxID123:: > security ipsec ca-certificate add -vserver dr -ca-certs ipsec-ca-cert
```
1. 次のコマンドを入力し、必要な IPsec ポリシーをセキュリティポリシーデータベース (SPD) に作成します。
```
security ipsec policy create -vserver dr -name policy-name -local-ip-subnets 198.19.254.13/32 -remote-ip-subnets 172.31.0.0/16 -auth-method PKI -action ESP_TRA -cipher-suite SUITEB_GCM256 -cert-name ipsec-client-cert -local-identity "CN=*.ec2.internal" -remote-identity "CN=*.ec2.internal"
```
1. 次のコマンドを使用してファイルシステムの IPsec ポリシーを表示し、確認します。
```
FSxID123:: > security ipsec policy show -vserver dr -instance
Vserver: dr
Policy Name: promise
Local IP Subnets: 198.19.254.13/32
Remote IP Subnets: 172.31.0.0/16
Local Ports: 0-0
Remote Ports: 0-0
Protocols: any
Action: ESP_TRA
Cipher Suite: SUITEB_GCM256
IKE Security Association Lifetime: 86400
IPsec Security Association Lifetime: 28800
IPsec Security Association Lifetime (bytes): 0
Is Policy Enabled: true
Local Identity: CN=*.ec2.internal
Remote Identity: CN=*.ec2.internal
Authentication Method: PKI
Certificate for Local Identity: ipsec-client-cert
```
## クライアントで IPsec を起動する
IPsec を FSx for ONTAP ファイルシステムとクライアントの両方で設定したので、これで IPsec をクライアントで起動できます。
1. SSH を使用してクライアントシステムに接続します。
1. IPsec を起動します。
```
$ sudo ipsec start
```
1. IPsec のステータスをチェックします。
```
$ sudo ipsec status
```
1. ファイルシステムにボリュームをマウントします。
```
$ sudo mount -t nfs 198.19.254.13:/benchmark /home/ec2-user/acm/dr
```
1. FSx for ONTAP ファイルシステムの暗号化された接続を表示し、IPsec の設定を確認します。
```
FSxID123:: > security ipsec show-ikesa -node FsxId123
FsxId08ac16c7ec2781a58::> security ipsec show-ikesa -node FsxId08ac16c7ec2781a58-01
Policy Local Remote
Vserver Name Address Address Initator-SPI State
----------- ------ --------------- --------------- ---------------- -----------
dr policy-name
198.19.254.13 172.31.77.6 551c55de57fe8976 ESTABLISHED
fsx policy-name
198.19.254.38 172.31.65.193 4fd3f22c993e60c5 ESTABLISHED
2 entries were displayed.
```
## 複数のクライアントに IPsec を設定する
IPsec を使用する必要のあるクライアントが少数である場合は、各クライアントに 1 つの SPD エントリを使用すれば十分です。しかし、数百あるいは数千のクライアントで IPsec を使用する必要がある場合は、IPsec の複数クライアント構成を使用することが推奨されます。
FSx for ONTAPは、複数のネットワーク上にある複数のクライアントを IPsec が有効である 1 つの SVM IP アドレスに接続することを、サポートしています。これは、`subnet` 構成または `Allow all clients` 構成のいずれかを使用することで達成できます。その方法については、以下の手順で説明します。
**サブネット構成を使用して複数のクライアント用に IPsec を構成するには**
特定のサブネット (192.168.134.0/24 など) 上にあるすべてのクライアントを、1 つの SPD ポリシーエントリを使って、1 つの SVM IP アドレスに接続するには、サブネット形式で `remote-ip-subnets` を指定する必要があります。さらに、正しいクライアント側 ID を使って `remote-identity` を指定する必要があります。
**重要**
証明書の認証を使用すると、各クライアントは、独自の証明書か共有証明書を使用して、認証を行うことができます。FSx for ONTAP IPsec は、ローカルのトラストストアにインストールされている CA に基づいて、証明書の有効性をチェックします。FSx for ONTAP は、証明書失効リスト (CRL) のチェックもサポートしています。
1. ONTAPCLI にアクセスするには、次のコマンドを実行して、Amazon FSx for NetApp ONTAP ファイルシステムまたは SVM の管理ポートで SSH セッションを確立します。`management_endpoint_ip` をファイルシステムの管理ポートの IP アドレスに置き換えます。
```
[~]$ ssh fsxadmin@management_endpoint_ip
```
詳細については、「[ONTAP CLI を使用したファイルシステムの管理](managing-resources-ontap-apps.md#fsxadmin-ontap-cli)」を参照してください。
1. `security ipsec policy create`NetApp ONTAP CLI コマンドを以下のように使用して、*sample* の値を特定の値に置き換えます。
```
FsxId123456::> security ipsec policy create -vserver svm_name -name policy_name \
-local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 192.168.134.0/24 \
-local-ports 2049 -protocols tcp -auth-method PSK \
-cert-name my_nfs_server_cert -local-identity ontap_side_identity \
-remote-identity client_side_identity
```
**Allow all clients 構成を使用して複数のクライアント用に IPsec を構成するには**
ソース IP アドレスに関係なくすべてのクライアントに SVM IPsec 対応 IP アドレスへの接続を許可するには、`remote-ip-subnets` フィールドを指定するときに `0.0.0.0/0` ワイルドカードを使用します。
さらに、正しいクライアント側 ID を使って `remote-identity` を指定する必要があります。証明書の認証には、`ANYTHING` と入力します。
また、0.0.0.0/0 のワイルドカードを使用する場合は、使用する特定のローカルまたはリモートのポート番号を設定する必要があります。例えば、NFS ポート 2049 です。
1. ONTAPCLI にアクセスするには、次のコマンドを実行して、Amazon FSx for NetApp ONTAP ファイルシステムまたは SVM の管理ポートで SSH セッションを確立します。`management_endpoint_ip` をファイルシステムの管理ポートの IP アドレスに置き換えます。
```
[~]$ ssh fsxadmin@management_endpoint_ip
```
詳細については、「[ONTAP CLI を使用したファイルシステムの管理](managing-resources-ontap-apps.md#fsxadmin-ontap-cli)」を参照してください。
1. `security ipsec policy create`NetApp ONTAP CLI コマンドを以下のように使用して、*sample* の値を特定の値に置き換えます。
```
FsxId123456::> security ipsec policy create -vserver svm_name -name policy_name \
-local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 0.0.0.0/0 \
-local-ports 2049 -protocols tcp -auth-method PSK \
-cert-name my_nfs_server_cert -local-identity ontap_side_identity \
-local-ports 2049 -remote-identity client_side_identity
```