共有キーを使用して複数のサーバー間で DAOS オブジェクトを暗号化する

HCL Domino 12® 以降では、DAOS が有効になっている複数のサーバーがオブジェクトの暗号化に使用できる共有キーを作成できます。

DAOS tier 2 ストレージを使用する場合、共有キーを使用して複数のサーバー間でオブジェクトを暗号化すると、tier 2 ストレージを節約できます。共有キーを使用すると、各一意の DAOS 添付オブジェクトは、共有キー参照を使用してオブジェクトを暗号化するすべてのサーバーが tier 2 ストレージ内の 1 つのオブジェクトに解決されます。

tier 2 ストレージを使用しない場合でも、オブジェクト暗号化に共有キーを使用すると、tier 1 のバックアップ戦略が簡略化される可能性があります。この場合、一意の添付オブジェクトは同じ名前とキーを持つため、オブジェクトのバックアップは 1 つだけで、共有キーを使用する任意のサーバーにオブジェクトをリストアできます。

次の図では、DAOS tier 2 は、共有キーを使用してオブジェクトを共有せずに使用されます。各サーバーは、オブジェクトを暗号化するために個別のキーを使用します。DAOS tier 1 のサーバー A とサーバー B で非アクティブなオブジェクト 1 の両方のコピーは、tier 2 に移動されます。
共有キーによるオブジェクト共有を使用すると、次の図に示すように、DAOS tier 1 のオブジェクト 1 のコピーが 1 つtier 2 に移動されます。

共有キーを使用して DAOS オブジェクトを暗号化するには、サーバーが使用する資格情報ストアに共有キーを作成します。AES-128 または AES-256 暗号化アルゴリズムを使用できます。次に、関係するサーバーのサーバー文書を変更して、共有キーによる暗号化を有効にします。

DAOS が有効になっているすべてのサーバーで同じ資格情報ストアを使用していない場合は、1 つの資格情報ストアから共有キーをエクスポートし、別の資格情報ストアにインポートできます。

添付オブジェクトを共有キーで暗号化できるようにすると、(ローカル Domino サーバー上の) tier 1 で DAOS オブジェクトが作成されたとき、そのオブジェクトは共有キーで暗号化されます。オブジェクト共有を有効にする前に作成された tier 1 オブジェクトは、tier 2 ストレージにプッシュされた場合に共有キーで暗号化されます。

DAOS オブジェクトは、各サーバーで最後にアクセスされた時期に応じてサーバー間で独立して「経過」するため、1 つの添付ファイル オブジェクトは一部のサーバーでは tier 1、他のサーバーでは tier 2 になります。

共有キーで暗号化された tier 2 オブジェクトへの参照がすべて特定のサーバーから削除された場合、DAOS は DAOS 設定の [オブジェクトを削除するまでの保留日数: n] に従って、そのサーバーのオブジェクトへの tier 2 参照を削除します。これがオブジェクトを参照した最後のサーバーである場合、tier 2 オブジェクト自体が tier 2 ストレージから削除され、オブジェクトのライフ サイクルが完了します。

DAOS は、各 tier 2 オブジェクトを参照するサーバーを追跡し、競合状態を避けるために、サーバー全体でオブジェクトの作成 (プッシュ) と削除 (プルーニング) を調整します。

注: 共有暗号鍵を使用するすべてのサーバーで、Domino 12 以降を実行する必要があります。Domino 12 より前のバージョンにダウングレードする必要がある Domino サーバーでは、共有キーを使用したオブジェクト暗号化を有効にしないでください。
サーバー間で添付ファイル・オブジェクトの共有を構成するには、以下の手順を実行します。
  1. 資格情報ストアで共有キーを作成する
  2. 共有キーを別の資格情報ストアにインポートする
  3. 共有キーを使用して新しい添付ファイル オブジェクトを暗号化する
  4. 共有オブジェクトの使用を確認する