KMS(키 관리 서버) 추가
StorageGRID 키 관리 서버 마법사를 사용하여 각 KMS 또는 KMS 클러스터를 추가합니다.
-
을(를) 검토했습니다 "키 관리 서버 사용에 대한 고려 사항 및 요구 사항".
-
있습니다 "KMS에서 StorageGRID를 클라이언트로 구성했습니다"또한 각 KMS 또는 KMS 클러스터에 필요한 정보가 있습니다.
-
를 사용하여 그리드 관리자에 로그인했습니다 "지원되는 웹 브라우저".
-
루트 액세스 권한이 있습니다.
가능하면 다른 KMS에서 관리하지 않는 모든 사이트에 적용되는 기본 KMS를 구성하기 전에 사이트별 키 관리 서버를 구성하십시오. 기본 KMS를 먼저 만들면 그리드의 모든 노드 암호화 어플라이언스는 기본 KMS로 암호화됩니다. 나중에 사이트별 KMS를 만들려면 먼저 기본 KMS에서 새 KMS로 암호화 키의 현재 버전을 복사해야 합니다. 을 참조하십시오 "사이트의 KMS를 변경할 때의 고려 사항" 를 참조하십시오.
1단계: KMS 세부 정보
KMS(Key Management Server 추가) 마법사의 1단계(KMS 세부 정보)에서 KMS 또는 KMS 클러스터에 대한 세부 정보를 제공합니다.
-
구성 * > * 보안 * > * 키 관리 서버 * 를 선택합니다.
구성 세부 정보 탭이 선택된 키 관리 서버 페이지가 나타납니다.
-
Create * 를 선택합니다.
키 관리 서버 추가 마법사의 1단계(KMS 세부 정보)가 나타납니다.
-
KMS에 구성한 KMS 및 StorageGRID 클라이언트에 대한 다음 정보를 입력합니다.
필드에 입력합니다 설명 KMS 이름
이 KMS를 식별하는 데 도움이 되는 설명 이름입니다. 1자에서 64자 사이여야 합니다.
키 이름
KMS에서 StorageGRID 클라이언트에 대한 정확한 키 별칭입니다. 1자에서 255자 사이여야 합니다.
의 키를 관리합니다
이 KMS와 관련된 StorageGRID 사이트입니다. 가능하면 다른 KMS에서 관리하지 않는 모든 사이트에 적용되는 기본 KMS를 구성하기 전에 사이트별 키 관리 서버를 구성해야 합니다.
-
이 KMS가 특정 사이트의 어플라이언스 노드에 대한 암호화 키를 관리하는 경우 사이트를 선택합니다.
-
전용 KMS가 없는 사이트와 후속 확장에 추가한 사이트에 적용되는 기본 KMS를 구성하려면 * 다른 KMS(기본 KMS)에서 관리하지 않는 사이트 * 를 선택합니다.
-
참고:* KMS 구성을 저장하면 검증 오류가 발생합니다. KMS 기본 KMS에 의해 이전에 암호화된 사이트를 선택했지만 새 KMS에 원본 암호화 키의 현재 버전을 제공하지 않은 경우 KMS 구성을 저장하면 오류가 발생합니다.
-
포트
KMS 서버가 KMIP(Key Management Interoperability Protocol) 통신에 사용하는 포트입니다. 기본값은 5696으로, KMIP 표준 포트입니다.
호스트 이름
KMS의 정규화된 도메인 이름 또는 IP 주소입니다.
-
참고: * 서버 인증서의 주체 대체 이름(SAN) 필드에는 여기에 입력한 FQDN 또는 IP 주소가 포함되어야 합니다. 그렇지 않으면 StorageGRID는 KMS 또는 KMS 클러스터의 모든 서버에 연결할 수 없습니다.
-
-
KMS 클러스터를 구성하는 경우 * 다른 호스트 이름 추가 * 를 선택하여 클러스터의 각 서버에 대한 호스트 이름을 추가합니다.
-
Continue * 를 선택합니다.
2단계: 서버 인증서를 업로드합니다
키 관리 서버 추가 마법사의 2단계(서버 인증서 업로드)에서 KMS에 대한 서버 인증서(또는 인증서 번들)를 업로드합니다. 서버 인증서를 사용하면 외부 KMS가 StorageGRID에 자신을 인증할 수 있습니다.
-
2단계(서버 인증서 업로드) * 에서 저장된 서버 인증서 또는 인증서 번들의 위치를 찾습니다.
-
인증서 파일을 업로드합니다.
서버 인증서 메타데이터가 나타납니다.
인증서 번들을 업로드한 경우 각 인증서의 메타데이터가 해당 탭에 표시됩니다. -
Continue * 를 선택합니다.
3단계: 클라이언트 인증서 업로드
키 관리 서버 추가 마법사의 3단계(클라이언트 인증서 업로드)에서 클라이언트 인증서와 클라이언트 인증서 개인 키를 업로드합니다. 클라이언트 인증서를 사용하면 StorageGRID가 KMS에 대한 인증을 받을 수 있습니다.
-
3단계(클라이언트 인증서 업로드) * 에서 클라이언트 인증서 위치를 찾습니다.
-
클라이언트 인증서 파일을 업로드합니다.
클라이언트 인증서 메타데이터가 나타납니다.
-
클라이언트 인증서의 개인 키 위치를 찾습니다.
-
개인 키 파일을 업로드합니다.
-
테스트 및 저장 * 을 선택합니다.
키 관리 서버와 어플라이언스 노드 간의 연결은 테스트를 거칩니다. 모든 연결이 올바르고 KMS에서 올바른 키를 찾으면 키 관리 서버 페이지의 표에 새 키 관리 서버가 추가됩니다.
KMS를 추가한 직후 키 관리 서버 페이지의 인증서 상태는 알 수 없음으로 표시됩니다. 각 인증서의 실제 상태를 가져오는 데 30분 정도 StorageGRID 걸릴 수 있습니다. 현재 상태를 보려면 웹 브라우저를 새로 고쳐야 합니다. -
테스트 및 저장 * 을 선택할 때 오류 메시지가 나타나면 메시지 세부 정보를 검토한 다음 * 확인 * 을 선택합니다.
예를 들어 연결 테스트에 실패한 경우 422:처리할 수 없는 엔터티 오류가 발생할 수 있습니다.
-
외부 연결을 테스트하지 않고 현재 구성을 저장해야 하는 경우 * 강제 저장 * 을 선택합니다.
강제 저장 * 을 선택하면 KMS 구성이 저장되지만 각 제품에서 해당 KMS로의 외부 연결은 테스트되지 않습니다. 구성에 문제가 있을 경우 해당 사이트에서 노드 암호화가 활성화된 어플라이언스 노드를 재부팅하지 못할 수 있습니다. 문제가 해결될 때까지 데이터에 액세스하지 못할 수 있습니다. -
확인 경고를 검토하고 구성을 강제 저장하려면 * OK * 를 선택합니다.
KMS 구성은 저장되지만 KMS에 대한 연결은 테스트되지 않습니다.