Cloud Dedicated Bring Your Own Key

Mattermost 클라우드 BYOK(자체 키 사용) 가이드

BYOK(Bring Your Own Key)는 Enterprise Cloud 고객에게 암호화 키 수명 주기에 대한 자율성을 제공합니다. BYOK는 기업이 제공하고 유지하는 커스텀 KMS 키를 사용한 저장 암호화를 지원합니다. BYOK는 Mattermost Cloud Enterprise Dedicated 구독이 필요 하며, 기업이 데이터 암호화 프로세스를 완전히 제어할 수 있도록 하여 향상된 데이터 보안 및 규정 준수를 제공합니다. Mattermost Cloud Enterprise Dedicated에서는 다음 두 가지 방법으로 KMS 키를 사용할 수 있습니다: 모든 서비스에 대해 하나의 KMS 키 사용, 또는 서비스별 KMS 키 사용 (EBS, RDS, S3) 각 서비스에 고유한 키를 사용할 필요는 없습니다. 모든 서비스는 저장 시 암호화되어야 합니다. 이 기능의 선택적 활성화를 지원할 수 있습니다. 글로벌 데이터베이스가 필요한 경우 2개의 KMS 키(지역당 1개)를 제공하는 것을 권장합니다. BYOK 구성 # Enterprise 고객이 Mattermost Infrastructure SRE 팀에 AWS KMS ARN을 제공합니다. Enterprise 고객이 제공된 AWS KMS ARN에 대한 KMS 정책에 다음 블록을 추가합니다: { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::<MATTERMOST_AWS_ACCOUNT_ID>:user/mattermost-cloud-<environment>-provisioning-<VPC_ID>" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "<CUSTOM_CUSTOMER_KMS_ID>" }, { "Sid": "Allow use of the key role nodes", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::<MATTERMOST_AWS_ACCOUNT_ID>:role/nodes.<CLUSTER_ID>-kops.k8s.local" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "<CUSTOM_CUSTOMER_KMS_ID>" }, Mattermost Infrastructure SRE 팀이 고객 측에서 KMS 정책이 업데이트된 후 kops 클러스터 및 S3, RDS 리소스를 업데이트합니다. 대안으로, Enterprise 고객이 Mattermost가 고객을 대신하여 유지 관리하는 외부 키(비-KMS)를 Mattermost Infrastruct