サーバー外暗号化キーを管理するためのツール。
KMIPキー・サーバーに格納されている暗号化キーを管理するには、
dsetool managekmipコマンドを使用します。
注: キーを期限切れにする、取り消す、および削除することにはリスクが伴います。DataStaxでは、どのノードもキーを削除できないようにキー管理パーミッション・ポリシーを設定することを推奨します。暗号化キーがキャッシュされる可能性がある場合は、キーを期限切れにする、取り消す、および削除する前にキャッシュ時間が経過していること確認してください。
kmip_groupnameとして識別されるKMIPキー・サーバー・グループは、のkmip_hostsセクションに設定するユーザー定義のKMIPサーバー・グループです。
以下の構文を使用します。dsetool managekmip list|expirekey|revoke|destroy kmip_groupname [command_arguments]
dsetool managekmipコマンドのヘルプを表示するには、次のコマンドを実行します。dsetool managekmip help
手順
-
新しいデータの暗号化を防止するために暗号化キーを直ちに期限切れにするが、そのキーでの復号化は引き続き許可するには、次のコマンドを実行します。
dsetool managekmip expirekey kmip_groupname key_id
暗号化キーの期限が切れる日時を指定するには、次のコマンドを実行します。
dsetool managekmip expirekey kmip_groupname key_id datetime
datetimeで指定した日時以降は、新しいデータはキーで暗号化されません。この有効期限日時を過ぎても、このキーでの復号化は可能です。
datetimeの形式はYYYY-MM-DD HH:MM:SS:Tです。たとえば、2016-04-13 20:05:00:0と指定すると、2016年4月13日の午後8時5分に暗号化キーが期限切れになります。
-
暗号化キーを直ちに取り消して、このキーによるデータの暗号化と復号化を防止するには、次のコマンドを実行します。
dsetool managekmip revoke kmip_groupname key_id
-
暗号化キーを直ちに破棄して、このキーによるデータの暗号化と復号化を防止するには、次のコマンドを実行します。
dsetool managekmip revoke kmip_groupname key_id