서버 측 암호화를 사용하세요
변경 제안
PDF
서버 측 암호화를 사용하면 저장된 개체 데이터를 보호할 수 있습니다. StorageGRID 객체를 쓸 때 데이터를 암호화하고 객체에 액세스할 때 데이터를 해독합니다.
서버 측 암호화를 사용하려면 암호화 키가 관리되는 방식에 따라 두 가지 상호 배타적 옵션 중 하나를 선택할 수 있습니다.
-
SSE( StorageGRID 관리 키를 사용한 서버 측 암호화): 객체를 저장하기 위해 S3 요청을 발행하면 StorageGRID 고유 키로 객체를 암호화합니다. 객체를 검색하기 위해 S3 요청을 발행하면 StorageGRID 저장된 키를 사용하여 객체를 암호 해독합니다.
-
SSE-C(고객 제공 키를 사용한 서버 측 암호화): 객체를 저장하기 위해 S3 요청을 발행할 때 고유한 암호화 키를 제공합니다. 객체를 검색할 때 요청의 일부로 동일한 암호화 키를 제공합니다. 두 암호화 키가 일치하면 객체가 복호화되고 객체 데이터가 반환됩니다.
StorageGRID 모든 객체 암호화 및 복호화 작업을 관리하는 반면, 사용자는 제공한 암호화 키를 관리해야 합니다.
귀하가 제공한 암호화 키는 결코 저장되지 않습니다. 암호화 키를 잃어버리면 해당 객체도 잃어버리게 됩니다. 
객체가 SSE 또는 SSE-C로 암호화된 경우 버킷 수준 또는 그리드 수준 암호화 설정은 무시됩니다.
SSE를 사용하세요
StorageGRID 에서 관리하는 고유 키로 객체를 암호화하려면 다음 요청 헤더를 사용합니다.
x-amz-server-side-encryption
SSE 요청 헤더는 다음 개체 작업에서 지원됩니다.
SSE-C를 사용하세요
관리하는 고유 키로 객체를 암호화하려면 세 가지 요청 헤더를 사용합니다.
| 요청 헤더 | 설명 |
|---|---|
|
암호화 알고리즘을 지정하세요. 헤더 값은 다음과 같아야 합니다. |
|
객체를 암호화하거나 암호 해독하는 데 사용될 암호화 키를 지정합니다. 키 값은 256비트, base64로 인코딩되어야 합니다. |
|
RFC 1321에 따라 암호화 키의 MD5 다이제스트를 지정합니다. 이는 암호화 키가 오류 없이 전송되었는지 확인하는 데 사용됩니다. MD5 다이제스트의 값은 128비트로 base64로 인코딩되어야 합니다. |
SSE-C 요청 헤더는 다음 개체 작업에서 지원됩니다.
고객 제공 키(SSE-C)를 사용한 서버 측 암호화 사용 시 고려 사항
SSE-C를 사용하기 전에 다음 사항을 고려하세요.
-
https를 사용해야 합니다.
StorageGRID SSE-C를 사용할 때 http를 통해 전송되는 모든 요청을 거부합니다. 보안을 위해, http를 사용하여 실수로 전송한 키는 손상될 수 있음을 고려해야 합니다. 열쇠를 버리고 적절하게 회전시킵니다. -
응답의 ETag는 개체 데이터의 MD5가 아닙니다.
-
암호화 키와 객체의 매핑을 관리해야 합니다. StorageGRID 암호화 키를 저장하지 않습니다. 각 객체에 대해 제공한 암호화 키를 추적하는 것은 귀하의 책임입니다.
-
버킷에 버전 관리가 활성화된 경우 각 개체 버전에는 고유한 암호화 키가 있어야 합니다. 각 개체 버전에 사용된 암호화 키를 추적하는 것은 사용자의 책임입니다.
-
클라이언트 측에서 암호화 키를 관리하므로 키 순환과 같은 추가적인 보호 조치도 클라이언트 측에서 관리해야 합니다.
귀하가 제공한 암호화 키는 결코 저장되지 않습니다. 암호화 키를 잃어버리면 해당 객체도 잃어버리게 됩니다. -
버킷에 크로스 그리드 복제 또는 CloudMirror 복제가 구성된 경우 SSE-C 객체를 수집할 수 없습니다. 수집 작업이 실패합니다.