CMEK 키 관리 워크플로우
고객 관리 암호화 키에 대해 지원되는 관리 작업에 대해 알아봅니다.
CMEK 키 관리 작업
OCI 콘솔을 사용하면 다음과 같은 CMEK 관리 작업을 수행할 수 있습니다.
각 작업은 다음 절에서 자세히 설명합니다.
CMEK 할당
OCI 콘솔을 사용하여 전용 환경에 CMEK를 지정할 수 있습니다.
필요 조건:
-
Vault에 CMEK를 작성합니다. 절차는 CMEK Creation를 참조하십시오.
-
필요한 액세스 제어 정책을 만듭니다. 자세한 내용은 CMEK Access Control을 참조하십시오.
절차:
-
OCI 콘솔에 사인인합니다.
-
왼쪽 상단 모서리에 있는 탐색 메뉴를 열고 데이터베이스를 선택한 다음 NoSQL 데이터베이스를 선택합니다.
-
환경 필드에서 드롭다운 옵션을 선택하고 전용 환경을 선택합니다.
-
Environment(환경) 필드 아래에 있는 Encryption Key(암호화 키)는 Oracle 관리 키를 보여줍니다. Oracle 관리 키 옆에 있는 지정 링크를 선택합니다.
-
마스터 암호화 키 지정 페이지의 저장소 드롭다운에서 저장소를 선택합니다.
-
Master Encryption Key 드롭다운에서 CMEK를 선택합니다.
-
지정을 선택합니다.
그림 - CMEK 할당 페이지
Oracle NoSQL Database Cloud Service는 CMEK를 검증한 후 이를 사용하여 선택한 전용 환경에서 블록 볼륨 및 오브젝트 스토리지 키를 암호화합니다. 모든 블록 볼륨 및 오브젝트 스토리지 키가 암호화될 때까지 전용 환경의 상태가 UPDATING으로 변경됩니다. 이 기간 동안 콘솔에 키 업데이트 진행 중이라는 통지 메시지가 표시됩니다. 키 업데이트는 최대 2분이 걸릴 수 있습니다. CMEK 지정 후 Encryption Key는 CMEK 및 해당 OCID를 반영합니다.
그림 - CMEK 할당
CMEK 다른 CMEK로 할당
OCI 콘솔을 사용하여 전용 환경에서 CMEK를 변경할 수 있습니다. 이 절차는 키 순환에 사용됩니다.
필요 조건:
-
CMEK를 생성하여 전용 환경에 할당했습니다. 절차는 CMEK Assign을 참조하십시오.
-
Vault에 다른 CMEK를 작성합니다. 절차는 CMEK Creation를 참조하십시오.
절차:
-
OCI 콘솔에 사인인합니다.
-
왼쪽 상단 모서리에 있는 탐색 메뉴를 열고 데이터베이스를 선택한 다음 NoSQL 데이터베이스를 선택합니다.
-
환경 필드에서 드롭다운 옵션을 선택하고 전용 환경을 선택합니다.
-
Environment(환경) 필드 아래의 Encryption Key(암호화 키)는 CMEK 및 해당 OCID를 보여줍니다. 암호화 키 아래의 편집 링크를 선택합니다.
-
마스터 암호화 키 편집 페이지의 저장소 드롭다운에서 저장소를 선택합니다.
-
Master Encryption Key(마스터 암호화 키) 드롭다운에서 필요한 CMEK를 선택합니다.
-
업데이트를 선택합니다.
주: 동일한 저장소의 다른 CMEK 또는 다른 저장소의 CMEK를 지정할 수 있습니다.
그림 - CMEK 회전
Oracle NoSQL Database Cloud Service는 새 CMEK를 검증한 다음 이를 사용하여 선택한 전용 환경에서 블록 볼륨 및 오브젝트 스토리지 키를 다시 암호화합니다. 블록 볼륨 및 오브젝트 스토리지의 모든 데이터가 다시 암호화될 때까지 전용 환경의 상태가 UPDATING으로 변경됩니다. 이 기간 동안 콘솔에 키 업데이트 진행 중이라는 통지 메시지가 표시됩니다. 키 업데이트는 최대 2분이 걸릴 수 있습니다. CMEK 교체 후 암호화 키는 새 CMEK 및 해당 OCID를 반영합니다.
CMEK 사용 안함
OCI 콘솔을 사용하여 이전에 전용 환경에 지정된 CMEK를 사용 안함으로 설정할 수 있습니다.
필요 조건:
- CMEK를 생성하여 전용 환경에 할당했습니다. 절차는 CMEK Assign을 참조하십시오.
절차:
-
OCI 콘솔에 사인인합니다.
-
왼쪽 상단 모서리에 있는 탐색 메뉴를 열고 ID 및 보안을 선택한 다음 저장소를 선택합니다.
-
CMEK를 작성한 저장소를 선택합니다.
-
CMEK를 선택합니다.
-
주요 세부정보 페이지에서 사용 안함을 선택하고 작업을 확인합니다.
그림 - CMEK 사용 안함
CMEK의 상태가 사용 안함으로 표시됩니다. 몇 분 안에 모든 작업에 대해 전용 환경을 사용할 수 없게 됩니다. OCI 콘솔에서 전용 환경에 액세스하려고 하면 CMEK가 사용 안함으로 설정되었다는 오류 메시지가 표시됩니다.
CMEK 삭제
OCI 콘솔을 사용하여 이전에 전용 환경에 할당한 CMEK를 삭제할 수 있습니다. CMEK 삭제는 우발적 인 삭제를 방지하기 위해 대기 기간이있는 2 단계 프로세스입니다.
필요 조건:
- CMEK를 생성하여 전용 환경에 할당했습니다. 절차는 CMEK Assign을 참조하십시오.
절차:
-
OCI 콘솔에 사인인합니다.
-
왼쪽 상단 모서리에 있는 탐색 메뉴를 열고 ID 및 보안을 선택한 다음 저장소를 선택합니다.
-
CMEK를 작성한 저장소를 선택합니다.
-
CMEK를 선택합니다.
-
주요 세부정보 페이지에서 키 삭제를 선택합니다.
-
삭제 날짜를 선택하고 작업을 확인합니다.
그림 - CMEK 삭제
CMEK의 상태는 삭제 보류 중(사용 안함 상태와 같음)을 표시합니다. 모든 작업에 대해 전용 환경을 사용할 수 없게 됩니다. OCI 콘솔에서 전용 환경에 액세스하려고 하면 CMEK가 사용 안함으로 설정되고 삭제 보류 중이라는 오류 메시지가 표시됩니다.
삭제 날짜가 지나면 전용 환경의 모든 데이터를 영구적으로 사용할 수 없게 되고 되돌릴 수 없게 됩니다. OCI 콘솔에서 전용 환경에 액세스하려고 하면 CMEK가 영구적으로 삭제된다는 오류 메시지가 표시됩니다.
CMEK 복원
OCI 콘솔을 사용하여 이전에 사용 안함으로 설정된 CMEK를 다시 사용으로 설정할 수 있습니다.
필요 조건:
- CMEK가 사용 안함으로 설정된 상태입니다.
절차:
-
OCI 콘솔에 사인인합니다.
-
왼쪽 상단 모서리에 있는 탐색 메뉴를 열고 ID 및 보안을 선택한 다음 저장소를 선택합니다.
-
CMEK를 작성한 저장소를 선택합니다.
-
CMEK를 선택합니다.
-
주요 세부정보 페이지에서 사용을 선택합니다.
그림 - CMEK 복원
자격 증명 모음에서 해당 CMEK가 다시 사용으로 설정된 후 전용 환경을 다시 온라인으로 설정하기 위한 CAM 티켓을 마련해야 합니다.
CMEK 제거
OCI 콘솔을 사용하여 전용 환경에서 CMEK를 제거할 수 있습니다.
필요 조건:
- CMEK를 생성하여 전용 환경에 할당했습니다. 절차는 CMEK Assign을 참조하십시오.
절차:
-
OCI 콘솔에 사인인합니다.
-
왼쪽 상단 모서리에 있는 탐색 메뉴를 열고 데이터베이스를 선택한 다음 NoSQL 데이터베이스를 선택합니다.
-
환경 필드에서 드롭다운 옵션을 선택하고 전용 환경을 선택합니다.
-
Environment(환경) 필드 아래의 Encryption Key(암호화 키)는 CMEK 및 해당 OCID를 보여줍니다. Encryption Key(암호화 키) 아래의 Unassign(지정 해제) 링크를 선택합니다.
그림 - CMEK 제거
Oracle NoSQL Database Cloud Service는 전용 환경에서 CMEK를 제거하고 Oracle 관리 키를 할당합니다. 선택한 전용 환경의 블록 볼륨 및 오브젝트 스토리지에 있는 모든 데이터는 Oracle 관리 암호화 키를 사용하여 암호화되도록 되돌아갑니다. CMEK 제거 후 Encryption Key는 Oracle 관리 키를 반영합니다.