CREATE_LOCKING_POLICY 过程
CREATE_LOCKING_POLICY 过程创建密码策略。
在创建密码策略之前,必须通过 HMC 的分区属性-> 高级设置-> 平台 KeyStore 大小 值设置为非零值来启用平台 KeyStore 。
在分区上创建 NVMe 密码保护策略之前,建议使用 GO SAVE: 选项 21 (保存整个系统)保存所有系统和用户数据。
IBM® i 支持的所有 NVMe 设备都是自加密驱动器 (SED)。 这意味着数据是静态加密的。 但是,用于加密和解密数据的密钥不受保护。 通过创建密码策略并向其添加 NVMe 设备,一旦设备离开所有者的控制,这些设备可以保护存储的用户数据的机密性,防止未经授权的访问。 此功能部件将可信计算机组 (TCG) Opal 安全子系统类 (SSC) 规范用于存储器。 支持 Opal SSC 的每个 NVMe 设备都注册在管理员可以在其上建立锁定策略的设备列表中。 将设备添加到锁定策略后,当发生主电源丢失或 PCIe 冷复位时, NVMe 设备将锁定自己。
在下列情况下,将锁定 NVMe 设备:
- 在设备上执行 DLPAR 移除操作
- 在设备上执行并发维护电源关闭
- 分区已 IPL
- 重置 NVMe 设备时
锁定设备后,向磁带机发出的读写操作将失败。 当 NVMe 设备保留在分区中时,恢复设备电源将使其使用存储在平台 KeyStore中的策略密码自动解锁自身。
授权: 调用者必须具有 *IOSYSCFG 和 *SERVICE 特权。
模式为 QSYS2。
- 策略-密码
- 一个字符串,其中包含将用于解锁设备和更改锁定策略配置的初始策略密码。
长度至少为
16 个字符,不能超过 32 个字符。
示例
- 创建锁定策略。
CALL QSYS2.CREATE_LOCKING_POLICY(POLICY_PASSWORD => 'My0dev9password!');