Cloud Dedicated Bring Your Own Key

Mattermost Cloud Enterprise Dedicated 고객을 위한 BYOK(Bring Your Own Key) 암호화 키 설정 방법과 요구 사항을 설명합니다.

BYOK(Bring Your Own Key)는 Enterprise Cloud 고객에게 암호화 키 생애 주기에 대한 자율성을 제공합니다. BYOK는 기업이 직접 제공하고 관리하는 커스텀 KMS 키를 사용한 저장 데이터 암호화를 지원합니다. BYOK는 Mattermost Cloud Enterprise Dedicated 구독이 필요합니다. 이 구독은 기업이 데이터 암호화 프로세스를 완전히 제어할 수 있도록 하여 향상된 데이터 보안 및 컴플라이언스를 제공합니다. Mattermost Cloud Enterprise Dedicated에서는 KMS 키를 2가지 방법으로 사용할 수 있습니다: 모든 서비스에 하나의 KMS 키 사용, 또는 서비스별 KMS 키 사용 (EBS, RDS, S3) 키는 각 서비스에 고유할 필요가 없습니다. 모든 서비스는 저장 데이터를 암호화해야 합니다. 이 기능의 선택적 활성화를 지원할 수 있습니다. 글로벌 데이터베이스가 필요한 경우 KMS 키를 2개(리전당 1개) 제공할 것을 권장합니다. BYOK 설정 # Enterprise 고객이 AWS KMS ARN을 Mattermost Infrastructure SRE 팀에 제공합니다. Enterprise 고객이 제공한 AWS KMS ARN에 대한 KMS 정책에 다음 블록을 추가합니다: { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::<MATTERMOST_AWS_ACCOUNT_ID>:user/mattermost-cloud-<environment>-provisioning-<VPC_ID>" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "<CUSTOM_CUSTOMER_KMS_ID>" }, { "Sid": "Allow use of the key role nodes", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::<MATTERMOST_AWS_ACCOUNT_ID>:role/nodes.<CLUSTER_ID>-kops.k8s.local" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "<CUSTOM_CUSTOMER_KMS_ID>" }, 고객 측에서 KMS 정책이 업데이트되면 Mattermost Infrastructure SRE 팀이 kops 클러스터와 S3, RDS 리소스를 업데이트합니다. 또는, Enterprise 고객이 Mattermost가 고객을 대신해 관리하는 외부 키(비-KMS)를 Mattermost Infrastructure S