Skip to main content
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

키 관리 서버(KMS) 추가

PDF

StorageGRID 키 관리 서버 마법사를 사용하여 각 KMS 또는 KMS 클러스터를 추가합니다.

시작하기 전에
이 작업에 관하여

가능하다면 다른 KMS로 관리되지 않는 모든 사이트에 적용되는 기본 KMS를 구성하기 전에 사이트별 키 관리 서버를 구성하세요. 기본 KMS를 먼저 만들면 그리드의 모든 노드 암호화 어플라이언스가 기본 KMS로 암호화됩니다. 나중에 사이트별 KMS를 만들려면 먼저 기본 KMS에서 현재 버전의 암호화 키를 새 KMS로 복사해야 합니다. 보다"사이트의 KMS 변경을 위한 고려 사항" 자세한 내용은.

1단계: KMS 세부 정보

키 관리 서버 추가 마법사의 1단계(KMS 세부 정보)에서는 KMS 또는 KMS 클러스터에 대한 세부 정보를 제공합니다.

단계

  1. 구성 > 보안 > *키 관리 서버*를 선택합니다.

    구성 세부 정보 탭이 선택된 키 관리 서버 페이지가 나타납니다.

  2. *만들기*를 선택하세요.

    키 관리 서버 추가 마법사의 1단계(KMS 세부 정보)가 나타납니다.

  3. KMS와 해당 KMS에서 구성한 StorageGRID 클라이언트에 대한 다음 정보를 입력하세요.

    필드 설명

    KMS 이름

    이 KMS를 식별하는 데 도움이 되는 설명적 이름입니다. 1~64자여야 합니다.

    키 이름

    KMS의 StorageGRID 클라이언트에 대한 정확한 키 별칭입니다. 1~255자 사이여야 합니다.

    참고: KMS 제품을 사용하여 키를 생성하지 않은 경우 StorageGRID 에서 키를 생성하라는 메시지가 표시됩니다.

    키를 관리합니다

    이 KMS와 연결될 StorageGRID 사이트입니다. 가능하다면 다른 KMS로 관리되지 않는 모든 사이트에 적용되는 기본 KMS를 구성하기 전에 사이트별 키 관리 서버를 구성해야 합니다.

    • 이 KMS가 특정 사이트의 어플라이언스 노드에 대한 암호화 키를 관리할 경우 사이트를 선택하세요.

    • 전용 KMS가 없는 사이트와 후속 확장에서 추가하는 모든 사이트에 적용될 기본 KMS를 구성하려면 *다른 KMS로 관리되지 않는 사이트(기본 KMS)*를 선택합니다.

      참고: 기본 KMS로 이전에 암호화된 사이트를 선택했지만 새 KMS에 원래 암호화 키의 현재 버전을 제공하지 않은 경우 KMS 구성을 저장할 때 유효성 검사 오류가 발생합니다.

    포트

    KMS 서버가 KMIP(Key Management Interoperability Protocol) 통신에 사용하는 포트입니다. 기본값은 KMIP 표준 포트인 5696입니다.

    호스트 이름

    KMS에 대한 정규화된 도메인 이름 또는 IP 주소입니다.

    참고: 서버 인증서의 SAN(주체 대체 이름) 필드에는 여기에 입력한 FQDN 또는 IP 주소가 포함되어야 합니다. 그렇지 않으면 StorageGRID KMS 또는 KMS 클러스터의 모든 서버에 연결할 수 없습니다.

  4. KMS 클러스터를 구성하는 경우 *다른 호스트 이름 추가*를 선택하여 클러스터의 각 서버에 대한 호스트 이름을 추가합니다.

  5. *계속*을 선택하세요.

2단계: 서버 인증서 업로드

키 관리 서버 추가 마법사의 2단계(서버 인증서 업로드)에서 KMS에 대한 서버 인증서(또는 인증서 번들)를 업로드합니다. 서버 인증서를 통해 외부 KMS가 StorageGRID 에 자신을 인증할 수 있습니다.

단계

  1. *2단계(서버 인증서 업로드)*에서 저장된 서버 인증서 또는 인증서 번들의 위치를 찾습니다.

  2. 인증서 파일을 업로드하세요.

    서버 인증서 메타데이터가 나타납니다.

    참고 인증서 번들을 업로드한 경우 각 인증서의 메타데이터가 해당 탭에 나타납니다.

  3. *계속*을 선택하세요.

3단계: 클라이언트 인증서 업로드

키 관리 서버 추가 마법사의 3단계(클라이언트 인증서 업로드)에서는 클라이언트 인증서와 클라이언트 인증서 개인 키를 업로드합니다. 클라이언트 인증서를 통해 StorageGRID KMS에 자신을 인증할 수 있습니다.

단계

  1. *3단계(클라이언트 인증서 업로드)*에서 클라이언트 인증서의 위치를 찾습니다.

  2. 클라이언트 인증서 파일을 업로드합니다.

    클라이언트 인증서 메타데이터가 나타납니다.

  3. 클라이언트 인증서의 개인 키 위치를 찾습니다.

  4. 개인 키 파일을 업로드합니다.

  5. *테스트 및 저장*을 선택하세요.

    키가 존재하지 않으면 StorageGRID 에서 키를 생성하라는 메시지가 표시됩니다.

    키 관리 서버와 어플라이언스 노드 간의 연결을 테스트합니다. 모든 연결이 유효하고 KMS에서 올바른 키가 발견되면 새로운 키 관리 서버가 키 관리 서버 페이지의 표에 추가됩니다.

    참고 KMS를 추가한 직후 키 관리 서버 페이지의 인증서 상태가 알 수 없음으로 표시됩니다. StorageGRID 각 인증서의 실제 상태를 가져오는 데 최대 30분이 걸릴 수 있습니다. 현재 상태를 확인하려면 웹 브라우저를 새로 고쳐야 합니다.

  6. *테스트 및 저장*을 선택할 때 오류 메시지가 나타나면 메시지 세부 정보를 검토한 다음 *확인*을 선택하세요.

    예를 들어, 연결 테스트에 실패하면 422: 처리할 수 없는 엔터티 오류가 발생할 수 있습니다.

  7. 외부 연결을 테스트하지 않고 현재 구성을 저장해야 하는 경우 *강제 저장*을 선택하세요.

    주의 *강제 저장*을 선택하면 KMS 구성은 저장되지만, 각 어플라이언스에서 해당 KMS로의 외부 연결은 테스트되지 않습니다. 구성에 문제가 있는 경우 영향을 받는 사이트에서 노드 암호화가 활성화된 어플라이언스 노드를 재부팅하지 못할 수 있습니다. 문제가 해결될 때까지 데이터에 액세스하지 못할 수도 있습니다.

  8. 확인 경고를 검토하고 구성을 강제로 저장하려면 *확인*을 선택하세요.

    KMS 구성은 저장되었지만 KMS에 대한 연결은 테스트되지 않았습니다.