KMS 관리
변경 제안
PDF
키 관리 서버(KMS)를 관리하려면 세부 정보 보기 또는 편집, 인증서 관리, 암호화된 노드 보기, 더 이상 필요하지 않은 KMS 제거 등이 필요합니다.
-
다음을 사용하여 Grid Manager에 로그인했습니다."지원되는 웹 브라우저" .
-
당신은 가지고있다"필요한 액세스 권한" .
KMS 세부 정보 보기
StorageGRID 시스템에서 각 키 관리 서버(KMS)에 대한 정보(키 세부 정보, 서버 및 클라이언트 인증서의 현재 상태 등)를 볼 수 있습니다.
-
구성 > 보안 > *키 관리 서버*를 선택합니다.
키 관리 서버 페이지가 나타나고 다음 정보가 표시됩니다.
-
구성 세부 정보 탭에는 구성된 모든 키 관리 서버가 나열됩니다.
-
암호화된 노드 탭에는 노드 암호화가 활성화된 모든 노드가 나열됩니다.
-
-
특정 KMS에 대한 세부 정보를 보고 해당 KMS에서 작업을 수행하려면 KMS 이름을 선택하세요. KMS의 세부 정보 페이지에는 다음 정보가 나열됩니다.
필드 설명 키를 관리합니다
KMS와 연결된 StorageGRID 사이트입니다.
이 필드에는 특정 StorageGRID 사이트 또는 *다른 KMS에서 관리하지 않는 사이트(기본 KMS)*의 이름이 표시됩니다.
호스트 이름
KMS의 정규화된 도메인 이름 또는 IP 주소입니다.
두 개의 키 관리 서버 클러스터가 있는 경우 두 서버의 정규화된 도메인 이름 또는 IP 주소가 나열됩니다. 클러스터에 키 관리 서버가 두 개 이상 있는 경우 첫 번째 KMS의 정규화된 도메인 이름 또는 IP 주소가 클러스터에 있는 추가 키 관리 서버의 수와 함께 나열됩니다.
예를 들어:
10.10.10.10 and 10.10.10.11또는10.10.10.10 and 2 others.클러스터의 모든 호스트 이름을 보려면 KMS를 선택하고 편집 또는 작업 > *편집*을 선택합니다.
-
KMS 세부 정보 페이지에서 탭을 선택하면 다음 정보를 볼 수 있습니다.
꼬리표 필드 설명 주요 세부 정보
키 이름
KMS의 StorageGRID 클라이언트에 대한 키 별칭입니다.
키 UID
키의 최신 버전에 대한 고유 식별자입니다.
마지막 수정
키의 최신 버전의 날짜와 시간입니다.
서버 인증서
메타데이터
일련 번호, 만료 날짜 및 시간, 인증서 PEM 등 인증서의 메타데이터입니다.
PEM 인증서
인증서의 PEM(개인정보 보호 강화 메일) 파일 내용입니다.
클라이언트 인증서
메타데이터
일련 번호, 만료 날짜 및 시간, 인증서 PEM 등 인증서의 메타데이터입니다.
-
조직의 보안 관행에 따라 필요한 빈도로 *키 순환*을 선택하거나 KMS 소프트웨어를 사용하여 키의 새 버전을 만듭니다.
키 회전이 성공하면 키 UID 및 마지막 수정 필드가 업데이트됩니다.
KMS 소프트웨어를 사용하여 암호화 키를 순환하는 경우, 마지막으로 사용된 키 버전에서 동일한 키의 새 버전으로 순환하세요. 완전히 다른 키로 회전하지 마세요.
KMS의 키 이름(별칭)을 변경하여 키를 회전하려고 시도하지 마세요. StorageGRID 이전에 사용된 모든 키 버전(및 향후 키 버전)에 동일한 키 별칭을 사용하여 KMS에서 액세스할 수 있어야 합니다. 구성된 KMS의 키 별칭을 변경하면 StorageGRID 데이터를 해독하지 못할 수 있습니다.
인증서 관리
서버나 클라이언트 인증서 문제가 발생하면 즉시 해결하세요. 가능하다면 인증서가 만료되기 전에 교체하세요.
|
|
데이터 접근을 유지하려면 가능한 한 빨리 인증서 문제를 해결해야 합니다. |
-
구성 > 보안 > *키 관리 서버*를 선택합니다.
-
표에서 각 KMS의 인증서 만료 값을 살펴보세요.
-
KMS의 인증서 만료일이 '알 수 없음'인 경우 최대 30분 동안 기다린 후 웹 브라우저를 새로 고칩니다.
-
인증서 만료 열에 인증서가 만료되었거나 만료가 임박했음이 표시되면 KMS를 선택하여 KMS 세부 정보 페이지로 이동합니다.
-
*서버 인증서*를 선택하고 "만료일" 필드의 값을 확인합니다.
-
인증서를 교체하려면 *인증서 편집*을 선택하여 새 인증서를 업로드하세요.
-
이 하위 단계를 반복하고 서버 인증서 대신 *클라이언트 인증서*를 선택합니다.
-
-
KMS CA 인증서 만료, KMS 클라이언트 인증서 만료, KMS 서버 인증서 만료 경고가 발생하면 각 경고에 대한 설명을 확인하고 권장 조치를 수행하세요.
StorageGRID 인증서 만료일 업데이트를 받는 데 최대 30분이 걸릴 수 있습니다. 현재 값을 확인하려면 웹 브라우저를 새로 고침하세요.
|
서버 인증서 상태를 알 수 없음 상태가 표시되면 KMS에서 클라이언트 인증서 없이도 서버 인증서를 얻을 수 있는지 확인하세요. |
암호화된 노드 보기
StorageGRID 시스템에서 노드 암호화 설정이 활성화된 어플라이언스 노드에 대한 정보를 볼 수 있습니다.
-
구성 > 보안 > *키 관리 서버*를 선택합니다.
키 관리 서버 페이지가 나타납니다. 구성 세부 정보 탭에는 구성된 모든 키 관리 서버가 표시됩니다.
-
페이지 상단에서 암호화된 노드 탭을 선택합니다.
암호화된 노드 탭에는 StorageGRID 시스템에서 노드 암호화 설정이 활성화된 어플라이언스 노드가 나열됩니다.
-
각 어플라이언스 노드에 대한 표의 정보를 검토하세요.
열 설명 노드 이름
어플라이언스 노드의 이름입니다.
노드 유형
노드 유형: 스토리지, 관리자 또는 게이트웨이.
대지
노드가 설치된 StorageGRID 사이트의 이름입니다.
KMS 이름
키 UID
어플라이언스 노드에서 데이터를 암호화하고 복호화하는 데 사용되는 암호화 키의 고유 ID입니다. 전체 키 UID를 보려면 텍스트를 선택하세요.
대시(--)는 키 UID를 알 수 없음을 나타내며, 이는 어플라이언스 노드와 KMS 간의 연결 문제로 인해 발생할 수 있습니다.
상태
KMS와 어플라이언스 노드 간의 연결 상태입니다. 노드가 연결되어 있으면 타임스탬프가 30분마다 업데이트됩니다. KMS 구성이 변경된 후 연결 상태가 업데이트되는 데 몇 분이 걸릴 수 있습니다.
참고: 새로운 값을 보려면 웹 브라우저를 새로 고침하세요.
-
상태 열에 KMS 문제가 표시되면 즉시 문제를 해결하세요.
일반적인 KMS 작업 중에는 상태가 *KMS에 연결됨*으로 표시됩니다. 노드가 그리드에서 연결이 끊어지면 노드 연결 상태가 표시됩니다(관리상 중단 또는 알 수 없음).
다른 상태 메시지는 동일한 이름을 가진 StorageGRID 알림에 해당합니다.
-
KMS 구성을 로드하지 못했습니다.
-
KMS 연결 오류
-
KMS 암호화 키 이름을 찾을 수 없습니다.
-
KMS 암호화 키 순환에 실패했습니다.
-
KMS 키가 어플라이언스 볼륨을 암호 해독하는 데 실패했습니다.
-
KMS가 구성되지 않았습니다
이러한 알림에 대해 권장되는 작업을 수행하세요.
-
|
|
데이터가 완벽하게 보호되도록 하려면 문제가 발생하면 즉시 해결해야 합니다. |
KMS 편집
예를 들어 인증서가 만료되려고 하는 경우 키 관리 서버의 구성을 편집해야 할 수도 있습니다.
-
KMS에 대해 선택한 사이트를 업데이트하려는 경우 다음을 검토해야 합니다."사이트의 KMS 변경을 위한 고려 사항" .
-
다음을 사용하여 Grid Manager에 로그인했습니다."지원되는 웹 브라우저" .
-
당신은 가지고있다"루트 액세스 권한" .
-
구성 > 보안 > *키 관리 서버*를 선택합니다.
키 관리 서버 페이지가 나타나고 구성된 모든 키 관리 서버가 표시됩니다.
-
편집하려는 KMS를 선택하고 작업 > *편집*을 선택합니다.
표에서 KMS 이름을 선택하고 KMS 세부 정보 페이지에서 *편집*을 선택하여 KMS를 편집할 수도 있습니다.
-
선택적으로 키 관리 서버 편집 마법사의 *1단계(KMS 세부 정보)*에서 세부 정보를 업데이트합니다.
필드 설명 KMS 이름
이 KMS를 식별하는 데 도움이 되는 설명적 이름입니다. 1~64자여야 합니다.
키 이름
KMS의 StorageGRID 클라이언트에 대한 정확한 키 별칭입니다. 1~255자 사이여야 합니다.
키 이름을 편집해야 하는 경우는 드물다. 예를 들어, KMS에서 별칭의 이름이 변경되거나 이전 키의 모든 버전이 새 별칭의 버전 기록에 복사된 경우 키 이름을 편집해야 합니다.
키를 관리합니다
사이트별 KMS를 편집하고 기본 KMS가 없는 경우, 선택적으로 *다른 KMS에서 관리하지 않는 사이트(기본 KMS)*를 선택합니다. 이 선택은 사이트별 KMS를 기본 KMS로 변환하며, 이는 전용 KMS가 없는 모든 사이트와 확장을 통해 추가된 모든 사이트에 적용됩니다.
참고: 사이트별 KMS를 편집하는 경우 다른 사이트를 선택할 수 없습니다. 기본 KMS를 편집하는 경우 특정 사이트를 선택할 수 없습니다.
포트
KMS 서버가 KMIP(Key Management Interoperability Protocol) 통신에 사용하는 포트입니다. 기본값은 KMIP 표준 포트인 5696입니다.
호스트 이름
KMS에 대한 정규화된 도메인 이름 또는 IP 주소입니다.
참고: 서버 인증서의 SAN(주체 대체 이름) 필드에는 여기에 입력한 FQDN 또는 IP 주소가 포함되어야 합니다. 그렇지 않으면 StorageGRID KMS 또는 KMS 클러스터의 모든 서버에 연결할 수 없습니다.
-
KMS 클러스터를 구성하는 경우 *다른 호스트 이름 추가*를 선택하여 클러스터의 각 서버에 대한 호스트 이름을 추가합니다.
-
*계속*을 선택하세요.
키 관리 서버 편집 마법사의 2단계(서버 인증서 업로드)가 나타납니다.
-
서버 인증서를 교체해야 하는 경우 *찾아보기*를 선택하고 새 파일을 업로드하세요.
-
*계속*을 선택하세요.
키 관리 서버 편집 마법사의 3단계(클라이언트 인증서 업로드)가 나타납니다.
-
클라이언트 인증서와 클라이언트 인증서 개인 키를 교체해야 하는 경우 *찾아보기*를 선택하고 새 파일을 업로드하세요.
-
*테스트 및 저장*을 선택하세요.
영향을 받는 사이트의 키 관리 서버와 모든 노드 암호화 어플라이언스 노드 간의 연결이 테스트됩니다. 모든 노드 연결이 유효하고 KMS에서 올바른 키가 발견되면 키 관리 서버 페이지의 표에 키 관리 서버가 추가됩니다.
-
오류 메시지가 나타나면 메시지 세부 정보를 검토하고 *확인*을 선택하세요.
예를 들어, 이 KMS에 대해 선택한 사이트가 이미 다른 KMS에서 관리되고 있거나 연결 테스트에 실패한 경우 422: 처리할 수 없는 엔터티 오류가 발생할 수 있습니다.
-
연결 오류를 해결하기 전에 현재 구성을 저장해야 하는 경우 *강제 저장*을 선택하세요.
*강제 저장*을 선택하면 KMS 구성은 저장되지만, 각 어플라이언스에서 해당 KMS로의 외부 연결은 테스트되지 않습니다. 구성에 문제가 있는 경우 영향을 받는 사이트에서 노드 암호화가 활성화된 어플라이언스 노드를 재부팅하지 못할 수 있습니다. 문제가 해결될 때까지 데이터에 액세스하지 못할 수도 있습니다. KMS 구성이 저장되었습니다.
-
확인 경고를 검토하고 구성을 강제로 저장하려면 *확인*을 선택하세요.
KMS 구성은 저장되었지만 KMS에 대한 연결은 테스트되지 않았습니다.
키 관리 서버(KMS) 제거
어떤 경우에는 키 관리 서버를 제거해야 할 수도 있습니다. 예를 들어, 사이트를 서비스 중단한 경우 사이트별 KMS를 제거하고 싶을 수 있습니다.
-
당신은 검토했습니다"키 관리 서버 사용을 위한 고려 사항 및 요구 사항" .
-
다음을 사용하여 Grid Manager에 로그인했습니다."지원되는 웹 브라우저" .
-
당신은 가지고있다"루트 액세스 권한" .
다음의 경우 KMS를 제거할 수 있습니다.
-
사이트가 서비스 중단되었거나 사이트에 노드 암호화가 활성화된 어플라이언스 노드가 없는 경우 사이트별 KMS를 제거할 수 있습니다.
-
노드 암호화가 활성화된 어플라이언스 노드가 있는 각 사이트에 대해 사이트별 KMS가 이미 있는 경우 기본 KMS를 제거할 수 있습니다.
-
구성 > 보안 > *키 관리 서버*를 선택합니다.
키 관리 서버 페이지가 나타나고 구성된 모든 키 관리 서버가 표시됩니다.
-
제거할 KMS를 선택하고 작업 > *제거*를 선택합니다.
표에서 KMS 이름을 선택하고 KMS 세부 정보 페이지에서 *제거*를 선택하여 KMS를 제거할 수도 있습니다.
-
다음 사항이 사실인지 확인하세요.
-
노드 암호화가 활성화된 어플라이언스 노드가 없는 사이트에 대한 사이트별 KMS를 제거하고 있습니다.
-
기본 KMS를 제거하고 있지만 노드 암호화가 적용된 각 사이트에는 사이트별 KMS가 이미 존재합니다.
-
-
*예*를 선택하세요.
KMS 구성이 제거되었습니다.