사이트의 KMS 변경을 위한 고려 사항
변경 제안
PDF
각 키 관리 서버(KMS) 또는 KMS 클러스터는 단일 사이트 또는 사이트 그룹의 모든 어플라이언스 노드에 암호화 키를 제공합니다. 사이트에 사용되는 KMS를 변경해야 하는 경우 암호화 키를 한 KMS에서 다른 KMS로 복사해야 할 수도 있습니다.
사이트에 사용된 KMS를 변경하는 경우 해당 사이트에서 이전에 암호화된 어플라이언스 노드를 새 KMS에 저장된 키를 사용하여 해독할 수 있는지 확인해야 합니다. 어떤 경우에는 원래 KMS에서 새 KMS로 암호화 키의 현재 버전을 복사해야 할 수도 있습니다. 사이트의 암호화된 어플라이언스 노드를 해독하기 위해 KMS에 올바른 키가 있는지 확인해야 합니다.
예를 들어:
-
처음에는 전용 KMS가 없는 모든 사이트에 적용되는 기본 KMS를 구성합니다.
-
KMS가 저장되면 노드 암호화 설정이 활성화된 모든 어플라이언스 노드가 KMS에 연결하여 암호화 키를 요청합니다. 이 키는 모든 사이트의 어플라이언스 노드를 암호화하는 데 사용됩니다. 동일한 키는 해당 기기의 암호를 해독하는 데에도 사용해야 합니다.
-
한 사이트(그림의 데이터 센터 3)에 사이트별 KMS를 추가하기로 결정했습니다. 하지만 어플라이언스 노드가 이미 암호화되어 있기 때문에 사이트별 KMS에 대한 구성을 저장하려고 하면 유효성 검사 오류가 발생합니다. 이 오류는 사이트별 KMS에 해당 사이트의 노드를 해독할 수 있는 올바른 키가 없기 때문에 발생합니다.
-
이 문제를 해결하려면 기본 KMS에서 현재 버전의 암호화 키를 새 KMS로 복사합니다. (기술적으로는 원래 키를 동일한 별칭을 가진 새 키로 복사합니다. 원래 키는 새 키의 이전 버전이 됩니다.) 이제 사이트별 KMS에는 데이터 센터 3의 어플라이언스 노드를 해독할 수 있는 올바른 키가 있으므로 StorageGRID 에 저장할 수 있습니다.
사이트에 사용되는 KMS를 변경하는 사용 사례
이 표는 사이트의 KMS를 변경하는 가장 일반적인 경우에 필요한 단계를 요약한 것입니다.
| 사이트의 KMS 변경을 위한 사용 사례 | 필수 단계 |
|---|---|
하나 이상의 사이트별 KMS 항목이 있고, 그 중 하나를 기본 KMS로 사용하려고 합니다. |
사이트별 KMS를 편집합니다. 키 관리 대상 필드에서 *다른 KMS에서 관리하지 않는 사이트(기본 KMS)*를 선택합니다. 이제 사이트별 KMS가 기본 KMS로 사용됩니다. 이는 전용 KMS가 없는 모든 사이트에 적용됩니다. |
기본 KMS가 있고 확장에서 새 사이트를 추가합니다. 새 사이트에는 기본 KMS를 사용하고 싶지 않습니다. |
|
사이트의 KMS가 다른 서버를 사용하도록 하려고 합니다. |
|