IBM Cloud: VPC-Gen2 스토리지를 BYOK로 암호화

7041 단어 닌비아예ribmcloud

1. 소개


  • VPC Gen2의 Primary boot volume 및 Secondary data volume은 IBM 관리 키로 기본적으로 AES256으로 암호화됩니다.
  • IBM 관리 키가 아닌 자신의 키를 가져 와서 VPC Gen2의 스토리지를 암호화하고 싶기 때문에 절차를 확인하는 것이이 기사의 목적
  • 공식 문서는 여기 .
  • VPC-Gen2의 Block Storage 암호화 메커니즘에 대한 자세한 내용은 이 설명을 참조하십시오.

  • With customer-managed encryption, you provision customer root keys (CRKs) to protect your encrypted resources in the cloud. Root keys serve as key-wrapping keys that safeguard LUKS passphrases. You decide whether toimport key"), or have a supported IBM key management service (KMS) create one for you.
    Block storage volumes are assigned a unique master encryption key generated by the instance's host hypervisor. The master key for each volume is encrypted with a unique KMS-generated LUKS passphrase, which is then encrypted by the CRK and stored in the KMS.

    2. KeyProtect 구매





    주문 후


    3. 명령줄 초기 설정



    키의 반입 자체는 GUI로부터도 할 수 있지만, 범용적인 순서를 나타내기 위해서 CLI로 실시하기로 한다.

    초기 설정
    #pluginの導入
    $ ibmcloud plugin install kp
    
    #KeyProtectを作成したリージョン、リソースグループに変更
    $ ibmcloud target -g Common -r jp-tok
    
    #作成したKey Protectの名称が"KeyProtect-Tokyo"のため、この名称を元にIDを探索
    $ ibmcloud resource service-instance "KeyProtect-Tokyo" --id
    Retrieving service instance KeyProtect-Tokyo in all resource groups under account IBM as [email protected]...
    crn:v1:bluemix:public:kms:jp-tok:a/039dbe6794084c7cb514a276dd2345da:6efdc301-0119-4472-872c-86de0b6dd8c7:: 6efdc301-0119-4472-872c-86de0b6dd8c7
    
    #環境変数の設定
    $ export KP_INSTANCE_ID=6efdc301-0119-4472-872c-86de0b6dd8c7
    
    #鍵のチェック(まだ作成していないので何もない)
    $ ibmcloud kp keys
    Retrieving keys...
    The Key Protect instance does not have any associated keys.
    

    4. Root Key 만들기



    KeyProtect에 의해 Root Key를 생성하는 방법과, 자신의 키를 Root Keyt로서 반입하는 방법의 2종류가 존재한다.

    4.1 KeyProtect로 RootKey를 생성하는 방법


    $ ibmcloud kp key create SYASUDA_ROOT-KEY
    Creating key: 'SYASUDA_ROOT-KEY', in instance: '6efdc301-0119-4472-872c-86de0b6dd8c7'...
    OK
    Key ID                                 Key Name
    e3e396fe-aa85-4985-860f-0c4bd4104c90   SYASUDA_ROOT-KEY
    

    GUI의 경우는 여기에서 가능


    4.2 KeyProtect에 자신의 키를 Root Key로 가져 오는 방법



    루트 키로 반입 요구 사항 으로는 128bit, 192bit, 256bit 중 하나여야 한다. 즉, 16 byte, 24 byte, 32 byte이다.

    예로서596sGYh!F7t.AN/gfEM347$KK8*Zu7CZ라는 열쇠를 반입하기로 한다. (본래는 HSM등으로 제대로 생성하거나 은폐해 구성해야 합니다만, 이번은 순서 확인을 위해 일부러 패스워드를 표시하고 있습니다)

    반입 키 만들기
    #パスワードを環境変数にセット
    $ PASSWORD='596sGYh!F7t.AN/gfEM347$KK8*Zu7CZ'
    
    #KeyProtectに保管する際にはbase64エンコーディング化する必要があるため変換
    $ KEY_MATERIAL=`echo $PASSWORD |base64 -w 0`
    
    #Root KeyとしてImport
    $ ibmcloud kp key create SYASUDA_ROOT-KEY -k $KEY_MATERIAL
    Creating key: 'SYASUDA_ROOT-KEY', in instance: '6efdc301-0119-4472-872c-86de0b6dd8c7'...
    OK
    Key ID                                 Key Name
    e3e396fe-aa85-4985-860f-0c4bd4104c90   SYASUDA_ROOT-KEY
    



    GUI의 경우는 여기에서 가능


    5. IAM에서 권한 부여



    여기에서는 구성을 간단하게 하기 위해서, 본 계정내의 Cloud Block Storage는 임의의 Key Protect에 액세스 할 수 있는 권한을 준다.
    (2020/08/12 현재 KeyProtect의 특정 리소스 그룹만 지정하여 권한 부여하는 방법이라면 잘못되는 것 같습니다)


    6. VPC로 서버 주문



    디폴트에서는 Provider Managed 로 되어 있으므로, Edit 로 편집을 실시해,


    해당 KeyProtect 및 키를 선택합니다.


    7. 주문 후 확인



    VSI측의 Storage에서도 BYOK로 암호화되어 있는 것을 알 수 있다.


    KeyProtect 측에도 이 스토리지 정보가 연결되어 있다.

    좋은 웹페이지 즐겨찾기