Skip to main content
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

KMS를 관리합니다

기여자
PDF

KMS(키 관리 서버) 관리에는 세부 정보 보기 또는 편집, 인증서 관리, 암호화된 노드 보기, KMS 제거 등이 포함됩니다.

시작하기 전에

KMS 세부 정보 보기

키 세부 정보, 서버 및 클라이언트 인증서의 현재 상태 등 StorageGRID 시스템의 각 KMS(키 관리 서버)에 대한 정보를 볼 수 있습니다.

단계

  1. 구성 * > * 보안 * > * 키 관리 서버 * 를 선택합니다.

    키 관리 서버 페이지가 나타나고 다음 정보가 표시됩니다.

    • 구성 세부 정보 탭에는 구성된 모든 키 관리 서버가 나열됩니다.

    • 암호화된 노드 탭에는 노드 암호화가 활성화된 모든 노드가 나열됩니다.

  2. 특정 KMS에 대한 세부 정보를 보고 해당 KMS에 대한 작업을 수행하려면 KMS의 이름을 선택합니다. KMS의 세부 정보 페이지에는 다음 정보가 나열됩니다.

    필드에 입력합니다 설명

    의 키를 관리합니다

    KMS와 관련된 StorageGRID 사이트

    이 필드에는 특정 StorageGRID 사이트 또는 다른 KMS(기본 KMS)가 관리하지 않는 사이트의 이름이 표시됩니다.*

    호스트 이름

    KMS의 정규화된 도메인 이름 또는 IP 주소입니다.

    두 개의 키 관리 서버로 구성된 클러스터가 있는 경우 두 서버의 정규화된 도메인 이름 또는 IP 주소가 나열됩니다. 클러스터에 키 관리 서버가 두 개 이상 있는 경우 첫 번째 KMS의 정규화된 도메인 이름 또는 IP 주소가 클러스터에 있는 추가 키 관리 서버의 수와 함께 나열됩니다.

    10.10.10.10 and 10.10.10.11: 또는 10.10.10.10 and 2 others.

    클러스터의 모든 호스트 이름을 보려면 KMS를 선택하고 * 편집 * 또는 * 작업 * > * 편집 * 을 선택합니다.

  3. KMS 세부 정보 페이지에서 탭을 선택하여 다음 정보를 봅니다.

    탭을 클릭합니다 필드에 입력합니다 설명

    키 세부 정보

    키 이름

    KMS에서 StorageGRID 클라이언트의 키 별칭입니다.

    키 UID

    최신 버전의 키에 대한 고유 식별자입니다.

    마지막 수정

    키의 최신 버전 날짜 및 시간입니다.

    서버 인증서

    메타데이터

    인증서의 메타데이터(예: 일련 번호, 만료 날짜 및 시간, 인증서 PEM)

    인증서 PEM

    인증서에 대한 PEM(개인 정보 보호 강화 메일) 파일의 내용입니다.

    클라이언트 인증서

    메타데이터

    인증서의 메타데이터(예: 일련 번호, 만료 날짜 및 시간, 인증서 PEM)

  4. ] 조직의 보안 관행에 필요한 만큼 * Rotate key * 를 선택하거나 KMS 소프트웨어를 사용하여 새 버전의 키를 만듭니다.

    키 회전이 성공하면 키 UID 및 마지막으로 수정된 필드가 업데이트됩니다.

    주의

    KMS 소프트웨어를 사용하여 암호화 키를 회전하는 경우 마지막으로 사용한 키 버전에서 동일한 키의 새 버전으로 회전합니다. 완전히 다른 키로 회전하지 마십시오.

    KMS의 키 이름(별칭)을 변경하여 키를 회전하려고 하지 마십시오. StorageGRID를 사용하려면 KMS에서 동일한 키 별칭을 사용하여 이전에 사용한 모든 키 버전과 향후 모든 키 버전에 액세스할 수 있어야 합니다. 구성된 KMS의 키 별칭을 변경하면 StorageGRID에서 데이터의 암호를 해독하지 못할 수 있습니다.

인증서를 관리합니다

모든 서버 또는 클라이언트 인증서 문제를 즉시 해결합니다. 가능하면 만료되기 전에 인증서를 교체하십시오.

주의 데이터 액세스를 유지하려면 가능한 한 빨리 인증서 문제를 해결해야 합니다.
단계

  1. 구성 * > * 보안 * > * 키 관리 서버 * 를 선택합니다.

  2. 표에서 각 KMS에 대한 인증서 만료 값을 확인합니다.

  3. KMS에 대한 인증서 만료가 알 수 없는 경우 최대 30분 정도 기다린 다음 웹 브라우저를 새로 고칩니다.

  4. 인증서 만료 열에 인증서가 만료되었거나 만료가 임박했음을 나타내는 경우 KMS를 선택하여 KMS 세부 정보 페이지로 이동합니다.

    1. 서버 인증서 * 를 선택하고 "만료 날짜" 필드에 대한 값을 확인합니다.

    2. 인증서를 교체하려면 * 인증서 편집 * 을 선택하여 새 인증서를 업로드합니다.

    3. 이 하위 단계를 반복하고 서버 인증서 대신 * 클라이언트 인증서 * 를 선택합니다.

  5. KMS CA 인증서 만료 *, * KMS 클라이언트 인증서 만료 * 및 * KMS 서버 인증서 만료 * 알림이 트리거되면 각 경고에 대한 설명을 기록하고 권장 조치를 수행합니다.

    인증서 만료에 대한 업데이트를 받는 데 30분 정도 걸릴 수 StorageGRID 있습니다. 현재 값을 보려면 웹 브라우저를 새로 고치십시오.

참고 서버 인증서 상태가 알 수 없음 * 인 경우 KMS에서 클라이언트 인증서 없이도 서버 인증서를 받을 수 있도록 허용하는지 확인합니다.

암호화된 노드를 봅니다

노드 암호화 * 설정이 활성화된 StorageGRID 시스템의 어플라이언스 노드에 대한 정보를 볼 수 있습니다.

단계

  1. 구성 * > * 보안 * > * 키 관리 서버 * 를 선택합니다.

    키 관리 서버 페이지가 나타납니다. 구성 세부 정보 탭에는 구성된 모든 키 관리 서버가 표시됩니다.

  2. 페이지 상단에서 * 암호화된 노드 * 탭을 선택합니다.

    암호화된 노드 탭에는 * 노드 암호화 * 설정이 활성화된 StorageGRID 시스템의 어플라이언스 노드가 나열됩니다.

  3. 각 어플라이언스 노드에 대해 표의 정보를 검토합니다.

    설명

    노드 이름

    어플라이언스 노드의 이름입니다.

    노드 유형입니다

    노드 유형: 스토리지, 관리자 또는 게이트웨이

    사이트

    노드가 설치된 StorageGRID 사이트의 이름입니다.

    KMS 이름

    노드에 사용된 KMS의 설명 이름입니다.

    KMS가 나열되지 않으면 구성 세부 정보 탭을 선택하여 KMS를 추가합니다.

    "KMS(키 관리 서버) 추가"

    키 UID

    어플라이언스 노드에서 데이터를 암호화하고 해독하는 데 사용되는 암호화 키의 고유 ID입니다. 전체 키 UID를 보려면 텍스트를 선택합니다.

    대시(--)는 어플라이언스 노드와 KMS 사이의 연결 문제로 인해 키 UID를 알 수 없음을 나타냅니다.

    상태

    KMS와 어플라이언스 노드 간의 연결 상태입니다. 노드가 연결되어 있으면 타임스탬프가 30분마다 업데이트됩니다. KMS 구성이 변경된 후 연결 상태를 업데이트하는 데 몇 분 정도 걸릴 수 있습니다.

    • 참고: * 새 값을 보려면 웹 브라우저를 새로 고치십시오.

  4. 상태 열에 KMS 문제가 표시되면 즉시 문제를 해결하십시오.

    KMS가 정상적으로 작동하는 동안 KMS*에 연결됨 상태로 표시됩니다. 노드가 그리드에서 연결이 끊어지면 노드 연결 상태가 표시됩니다(관리자 다운 또는 알 수 없음).

    다른 상태 메시지는 이름이 같은 StorageGRID 알림에 해당합니다.

    • KMS 구성을 로드하지 못했습니다

    • KMS 연결 오류입니다

    • KMS 암호화 키 이름을 찾을 수 없습니다

    • KMS 암호화 키 회전이 실패했습니다

    • 킬로미터 키가 어플라이언스 볼륨을 해독하지 못했습니다

    • KMS가 구성되지 않았습니다

    이러한 경고에 대해 권장되는 작업을 수행합니다.

주의 데이터를 완벽하게 보호하려면 모든 문제를 즉시 해결해야 합니다.

KMS를 편집합니다

예를 들어 인증서가 곧 만료될 경우 키 관리 서버의 구성을 편집해야 할 수 있습니다.

시작하기 전에
단계

  1. 구성 * > * 보안 * > * 키 관리 서버 * 를 선택합니다.

    키 관리 서버 페이지가 나타나고 구성된 모든 키 관리 서버가 표시됩니다.

  2. 편집할 KMS를 선택하고 * Actions * > * Edit * 를 선택합니다.

    KMS 세부 정보 페이지에서 KMS 이름을 선택하고 * 편집 * 을 선택하여 KMS를 편집할 수도 있습니다.

  3. 선택적으로 키 관리 서버 편집 마법사의 * 1단계(KMS 세부 정보) * 에 있는 세부 정보를 업데이트합니다.

    필드에 입력합니다 설명

    KMS 이름

    이 KMS를 식별하는 데 도움이 되는 설명 이름입니다. 1자에서 64자 사이여야 합니다.

    키 이름

    KMS에서 StorageGRID 클라이언트에 대한 정확한 키 별칭입니다. 1자에서 255자 사이여야 합니다.

    키 이름은 드문 경우지만 편집하면 됩니다. 예를 들어, KMS에서 별칭의 이름이 바뀌거나 이전 키의 모든 버전이 새 별칭의 버전 기록으로 복사된 경우 키 이름을 편집해야 합니다.

    의 키를 관리합니다

    사이트별 KMS를 편집하고 있고 기본 KMS가 아직 없는 경우 선택적으로 * 다른 KMS(기본 KMS)에서 관리하지 않는 사이트 * 를 선택합니다. 이 항목을 선택하면 사이트별 KMS가 기본 KMS로 변환되며, 이 KMS는 전용 KMS가 없는 모든 사이트와 확장 시 추가된 사이트에 적용됩니다.

    • 참고: * 사이트별 KMS를 편집하는 경우 다른 사이트를 선택할 수 없습니다. 기본 KMS를 편집하는 경우 특정 사이트를 선택할 수 없습니다.

    포트

    KMS 서버가 KMIP(Key Management Interoperability Protocol) 통신에 사용하는 포트입니다. 기본값은 5696으로, KMIP 표준 포트입니다.

    호스트 이름

    KMS의 정규화된 도메인 이름 또는 IP 주소입니다.

    • 참고: * 서버 인증서의 주체 대체 이름(SAN) 필드에는 여기에 입력한 FQDN 또는 IP 주소가 포함되어야 합니다. 그렇지 않으면 StorageGRID는 KMS 또는 KMS 클러스터의 모든 서버에 연결할 수 없습니다.

  4. KMS 클러스터를 구성하는 경우 * 다른 호스트 이름 추가 * 를 선택하여 클러스터의 각 서버에 대한 호스트 이름을 추가합니다.

  5. Continue * 를 선택합니다.

    키 관리 서버 편집 마법사의 2단계(서버 인증서 업로드)가 나타납니다.

  6. 서버 인증서를 교체해야 하는 경우 * 찾아보기 * 를 선택하고 새 파일을 업로드합니다.

  7. Continue * 를 선택합니다.

    키 관리 서버 편집 마법사의 3단계(클라이언트 인증서 업로드)가 나타납니다.

  8. 클라이언트 인증서와 클라이언트 인증서 개인 키를 교체해야 하는 경우 * 찾아보기 * 를 선택하고 새 파일을 업로드합니다.

  9. 테스트 및 저장 * 을 선택합니다.

    영향을 받는 사이트에서 키 관리 서버와 모든 노드 암호화 어플라이언스 노드 간의 연결을 테스트합니다. 모든 노드 연결이 유효하고 KMS에서 올바른 키를 찾으면 키 관리 서버가 키 관리 서버 페이지의 테이블에 추가됩니다.

  10. 오류 메시지가 나타나면 메시지 세부 정보를 검토하고 * OK * 를 선택합니다.

    예를 들어, 이 KMS에 대해 선택한 사이트가 다른 KMS에 의해 이미 관리되고 있거나 연결 테스트에 실패한 경우 422:처리할 수 없는 엔터티 오류가 발생할 수 있습니다.

  11. 연결 오류를 해결하기 전에 현재 설정을 저장해야 하는 경우 * 강제 저장 * 을 선택합니다.

    주의 강제 저장 * 을 선택하면 KMS 구성이 저장되지만 각 제품에서 해당 KMS로의 외부 연결은 테스트되지 않습니다. 구성에 문제가 있을 경우 해당 사이트에서 노드 암호화가 활성화된 어플라이언스 노드를 재부팅하지 못할 수 있습니다. 문제가 해결될 때까지 데이터에 액세스하지 못할 수 있습니다.

    KMS 구성이 저장됩니다.

  12. 확인 경고를 검토하고 구성을 강제 저장하려면 * OK * 를 선택합니다.

    KMS 구성이 저장되지만 KMS에 대한 연결은 테스트되지 않습니다.

KMS(키 관리 서버) 제거

경우에 따라 키 관리 서버를 제거할 수 있습니다. 예를 들어 사이트를 해체한 경우 사이트별 KMS를 제거할 수 있습니다.

시작하기 전에
이 작업에 대해

다음과 같은 경우 KMS를 제거할 수 있습니다.

  • 사이트를 폐기했거나 사이트에 노드 암호화가 활성화된 어플라이언스 노드가 없는 경우 사이트별 KMS를 제거할 수 있습니다.

  • 노드 암호화가 활성화된 어플라이언스 노드가 있는 각 사이트에 대해 사이트별 KMS가 이미 있는 경우 기본 KMS를 제거할 수 있습니다.

단계

  1. 구성 * > * 보안 * > * 키 관리 서버 * 를 선택합니다.

    키 관리 서버 페이지가 나타나고 구성된 모든 키 관리 서버가 표시됩니다.

  2. 제거할 KMS를 선택하고 * Actions * > * Remove * 를 선택합니다.

    KMS 세부 정보 페이지에서 KMS 이름을 선택하고 * Remove * 를 선택하여 KMS를 제거할 수도 있습니다.

  3. 다음 내용이 맞는지 확인합니다.

    • 노드 암호화가 활성화된 어플라이언스 노드가 없는 사이트에 대한 사이트별 KMS를 제거하고 있습니다.

    • 기본 KMS를 제거하고 있지만 노드 암호화를 사용하는 각 사이트에 대해 사이트별 KMS가 이미 있습니다.

  4. 예 * 를 선택합니다.

    KMS 구성이 제거되었습니다.