IBM Cloud: VPC-Gen2 스토리지를 BYOK로 암호화
1. 소개
With customer-managed encryption, you provision customer root keys (CRKs) to protect your encrypted resources in the cloud. Root keys serve as key-wrapping keys that safeguard LUKS passphrases. You decide whether toimport key"), or have a supported IBM key management service (KMS) create one for you.
Block storage volumes are assigned a unique master encryption key generated by the instance's host hypervisor. The master key for each volume is encrypted with a unique KMS-generated LUKS passphrase, which is then encrypted by the CRK and stored in the KMS.
2. KeyProtect 구매
주문 후
3. 명령줄 초기 설정
키의 반입 자체는 GUI로부터도 할 수 있지만, 범용적인 순서를 나타내기 위해서 CLI로 실시하기로 한다.
초기 설정#pluginの導入
$ ibmcloud plugin install kp
#KeyProtectを作成したリージョン、リソースグループに変更
$ ibmcloud target -g Common -r jp-tok
#作成したKey Protectの名称が"KeyProtect-Tokyo"のため、この名称を元にIDを探索
$ ibmcloud resource service-instance "KeyProtect-Tokyo" --id
Retrieving service instance KeyProtect-Tokyo in all resource groups under account IBM as [email protected]...
crn:v1:bluemix:public:kms:jp-tok:a/039dbe6794084c7cb514a276dd2345da:6efdc301-0119-4472-872c-86de0b6dd8c7:: 6efdc301-0119-4472-872c-86de0b6dd8c7
#環境変数の設定
$ export KP_INSTANCE_ID=6efdc301-0119-4472-872c-86de0b6dd8c7
#鍵のチェック(まだ作成していないので何もない)
$ ibmcloud kp keys
Retrieving keys...
The Key Protect instance does not have any associated keys.
4. Root Key 만들기
KeyProtect에 의해 Root Key를 생성하는 방법과, 자신의 키를 Root Keyt로서 반입하는 방법의 2종류가 존재한다.
4.1 KeyProtect로 RootKey를 생성하는 방법
$ ibmcloud kp key create SYASUDA_ROOT-KEY
Creating key: 'SYASUDA_ROOT-KEY', in instance: '6efdc301-0119-4472-872c-86de0b6dd8c7'...
OK
Key ID Key Name
e3e396fe-aa85-4985-860f-0c4bd4104c90 SYASUDA_ROOT-KEY
GUI의 경우는 여기에서 가능
4.2 KeyProtect에 자신의 키를 Root Key로 가져 오는 방법
루트 키로 반입 요구 사항 으로는 128bit, 192bit, 256bit 중 하나여야 한다. 즉, 16 byte, 24 byte, 32 byte이다.
예로서596sGYh!F7t.AN/gfEM347$KK8*Zu7CZ
라는 열쇠를 반입하기로 한다. (본래는 HSM등으로 제대로 생성하거나 은폐해 구성해야 합니다만, 이번은 순서 확인을 위해 일부러 패스워드를 표시하고 있습니다)
반입 키 만들기#パスワードを環境変数にセット
$ PASSWORD='596sGYh!F7t.AN/gfEM347$KK8*Zu7CZ'
#KeyProtectに保管する際にはbase64エンコーディング化する必要があるため変換
$ KEY_MATERIAL=`echo $PASSWORD |base64 -w 0`
#Root KeyとしてImport
$ ibmcloud kp key create SYASUDA_ROOT-KEY -k $KEY_MATERIAL
Creating key: 'SYASUDA_ROOT-KEY', in instance: '6efdc301-0119-4472-872c-86de0b6dd8c7'...
OK
Key ID Key Name
e3e396fe-aa85-4985-860f-0c4bd4104c90 SYASUDA_ROOT-KEY
GUI의 경우는 여기에서 가능
5. IAM에서 권한 부여
여기에서는 구성을 간단하게 하기 위해서, 본 계정내의 Cloud Block Storage는 임의의 Key Protect에 액세스 할 수 있는 권한을 준다.
(2020/08/12 현재 KeyProtect의 특정 리소스 그룹만 지정하여 권한 부여하는 방법이라면 잘못되는 것 같습니다)
6. VPC로 서버 주문
디폴트에서는 Provider Managed
로 되어 있으므로, Edit
로 편집을 실시해,
해당 KeyProtect 및 키를 선택합니다.
7. 주문 후 확인
VSI측의 Storage에서도 BYOK로 암호화되어 있는 것을 알 수 있다.
KeyProtect 측에도 이 스토리지 정보가 연결되어 있다.
Reference
이 문제에 관하여(IBM Cloud: VPC-Gen2 스토리지를 BYOK로 암호화), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다
https://qiita.com/testnin2/items/1fad7b6128b54f1307b1
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
키의 반입 자체는 GUI로부터도 할 수 있지만, 범용적인 순서를 나타내기 위해서 CLI로 실시하기로 한다.
초기 설정
#pluginの導入
$ ibmcloud plugin install kp
#KeyProtectを作成したリージョン、リソースグループに変更
$ ibmcloud target -g Common -r jp-tok
#作成したKey Protectの名称が"KeyProtect-Tokyo"のため、この名称を元にIDを探索
$ ibmcloud resource service-instance "KeyProtect-Tokyo" --id
Retrieving service instance KeyProtect-Tokyo in all resource groups under account IBM as [email protected]...
crn:v1:bluemix:public:kms:jp-tok:a/039dbe6794084c7cb514a276dd2345da:6efdc301-0119-4472-872c-86de0b6dd8c7:: 6efdc301-0119-4472-872c-86de0b6dd8c7
#環境変数の設定
$ export KP_INSTANCE_ID=6efdc301-0119-4472-872c-86de0b6dd8c7
#鍵のチェック(まだ作成していないので何もない)
$ ibmcloud kp keys
Retrieving keys...
The Key Protect instance does not have any associated keys.
4. Root Key 만들기
KeyProtect에 의해 Root Key를 생성하는 방법과, 자신의 키를 Root Keyt로서 반입하는 방법의 2종류가 존재한다.
4.1 KeyProtect로 RootKey를 생성하는 방법
$ ibmcloud kp key create SYASUDA_ROOT-KEY
Creating key: 'SYASUDA_ROOT-KEY', in instance: '6efdc301-0119-4472-872c-86de0b6dd8c7'...
OK
Key ID Key Name
e3e396fe-aa85-4985-860f-0c4bd4104c90 SYASUDA_ROOT-KEY
GUI의 경우는 여기에서 가능
4.2 KeyProtect에 자신의 키를 Root Key로 가져 오는 방법
루트 키로 반입 요구 사항 으로는 128bit, 192bit, 256bit 중 하나여야 한다. 즉, 16 byte, 24 byte, 32 byte이다.
예로서596sGYh!F7t.AN/gfEM347$KK8*Zu7CZ
라는 열쇠를 반입하기로 한다. (본래는 HSM등으로 제대로 생성하거나 은폐해 구성해야 합니다만, 이번은 순서 확인을 위해 일부러 패스워드를 표시하고 있습니다)
반입 키 만들기#パスワードを環境変数にセット
$ PASSWORD='596sGYh!F7t.AN/gfEM347$KK8*Zu7CZ'
#KeyProtectに保管する際にはbase64エンコーディング化する必要があるため変換
$ KEY_MATERIAL=`echo $PASSWORD |base64 -w 0`
#Root KeyとしてImport
$ ibmcloud kp key create SYASUDA_ROOT-KEY -k $KEY_MATERIAL
Creating key: 'SYASUDA_ROOT-KEY', in instance: '6efdc301-0119-4472-872c-86de0b6dd8c7'...
OK
Key ID Key Name
e3e396fe-aa85-4985-860f-0c4bd4104c90 SYASUDA_ROOT-KEY
GUI의 경우는 여기에서 가능
5. IAM에서 권한 부여
여기에서는 구성을 간단하게 하기 위해서, 본 계정내의 Cloud Block Storage는 임의의 Key Protect에 액세스 할 수 있는 권한을 준다.
(2020/08/12 현재 KeyProtect의 특정 리소스 그룹만 지정하여 권한 부여하는 방법이라면 잘못되는 것 같습니다)
6. VPC로 서버 주문
디폴트에서는 Provider Managed
로 되어 있으므로, Edit
로 편집을 실시해,
해당 KeyProtect 및 키를 선택합니다.
7. 주문 후 확인
VSI측의 Storage에서도 BYOK로 암호화되어 있는 것을 알 수 있다.
KeyProtect 측에도 이 스토리지 정보가 연결되어 있다.
Reference
이 문제에 관하여(IBM Cloud: VPC-Gen2 스토리지를 BYOK로 암호화), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다
https://qiita.com/testnin2/items/1fad7b6128b54f1307b1
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
$ ibmcloud kp key create SYASUDA_ROOT-KEY
Creating key: 'SYASUDA_ROOT-KEY', in instance: '6efdc301-0119-4472-872c-86de0b6dd8c7'...
OK
Key ID Key Name
e3e396fe-aa85-4985-860f-0c4bd4104c90 SYASUDA_ROOT-KEY
#パスワードを環境変数にセット
$ PASSWORD='596sGYh!F7t.AN/gfEM347$KK8*Zu7CZ'
#KeyProtectに保管する際にはbase64エンコーディング化する必要があるため変換
$ KEY_MATERIAL=`echo $PASSWORD |base64 -w 0`
#Root KeyとしてImport
$ ibmcloud kp key create SYASUDA_ROOT-KEY -k $KEY_MATERIAL
Creating key: 'SYASUDA_ROOT-KEY', in instance: '6efdc301-0119-4472-872c-86de0b6dd8c7'...
OK
Key ID Key Name
e3e396fe-aa85-4985-860f-0c4bd4104c90 SYASUDA_ROOT-KEY
여기에서는 구성을 간단하게 하기 위해서, 본 계정내의 Cloud Block Storage는 임의의 Key Protect에 액세스 할 수 있는 권한을 준다.
(2020/08/12 현재 KeyProtect의 특정 리소스 그룹만 지정하여 권한 부여하는 방법이라면 잘못되는 것 같습니다)
6. VPC로 서버 주문
디폴트에서는 Provider Managed
로 되어 있으므로, Edit
로 편집을 실시해,
해당 KeyProtect 및 키를 선택합니다.
7. 주문 후 확인
VSI측의 Storage에서도 BYOK로 암호화되어 있는 것을 알 수 있다.
KeyProtect 측에도 이 스토리지 정보가 연결되어 있다.
Reference
이 문제에 관하여(IBM Cloud: VPC-Gen2 스토리지를 BYOK로 암호화), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다
https://qiita.com/testnin2/items/1fad7b6128b54f1307b1
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
VSI측의 Storage에서도 BYOK로 암호화되어 있는 것을 알 수 있다.
KeyProtect 측에도 이 스토리지 정보가 연결되어 있다.
Reference
이 문제에 관하여(IBM Cloud: VPC-Gen2 스토리지를 BYOK로 암호화), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/testnin2/items/1fad7b6128b54f1307b1텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)