소개

Oracle Cloud Infrastructure(이하 OCI)는 Object Storage를 제공합니다. Object Storage는 아무것도 의식하지 않고 작성하면 Oracle측에서 관리되고 있는 Key로 데이터의 암호화가 됩니다. Key Management와 함께 사용하면 다른 키를 사용하여 암호화할 수 있으며 보안을 강화할 수 있습니다.
또한 사용자 측에서 직접 작성한 Key를 Key Management로 Import하여 Oracle 측이 Key를 생성하지 않은 상황을 만들 수 있습니다. Oracle 측에는 Key가 없으므로 사용자만 데이터를 복원할 수 있습니다.

이 기사에서는 Object Storage에서 Key Management의 Key를 사용하여 데이터를 암호화하는 방법을 소개합니다.

IAM Policy 설정

Object Storage와 같은 다른 서비스에서 Key Management를 사용하려면 IAM Policy 설정이 필요합니다. 서비스끼리의 제휴로 IAM Policy 가 필요한 것은 재미있는 개념이군요.

다음과 같은 정책을 설정합니다. Object Storage의 Region은 사용하는 Region에 따라 적절하게 변경하십시오. 지역 이름은 여기에 나열되어 있습니다.

Allow service blockstorage, objectstorage-ap-tokyo-1, objectstorage-ap-osaka-1, FssOc1Prod, oke to use keys in tenancy

Bucket 만들기

Object Storage에서 Bucket을 만들 때 Key를 지정합니다. 물론, 작성 후에도 Key 의 변경이 가능합니다.

Create Bucket을 누릅니다.



적절한 매개 변수를 입력하십시오. ENCRYPT USING CUSTOMER-MANAGED KEYS를 선택하여 Key Management에서 Key를 지정합니다.



이제 지정된 Key로 데이터가 암호화된 Bucket을 만들었습니다.

다른 키를 할당하고 재암호화

Key Managent에서 다른 Key를 생성하여 Object Storage에 연결할 수 있습니다. 다른 Key로 다시 암호화하면 Key 유출에 대한 보안을 높일 수 있습니다.

다시 암호화하려면 최소한 하나 이상의 Object를 업로드해야 합니다. 적절한 업로드 후 Encryption Key를 편집합니다.



새 Key2를 지정합니다.



새 키로 다시 암호화하려면 Re-encrypt를 누릅니다.



Re-encrypt



Work Request 화면에서 재암호화의 진행 상황을 확인할 수 있습니다.



완료됨을 확인할 수 있습니다.

참고 URL