InfoGrab Docs

Cloud Dedicated Bring Your Own Key

요약

BYOK(Bring Your Own Key)는 Enterprise Cloud 고객에게 암호화 키 생애 주기에 대한 자율성을 제공합니다. BYOK는 Mattermost Cloud Enterprise Dedicated 구독이 필요합니다.

BYOK(Bring Your Own Key)는 Enterprise Cloud 고객에게 암호화 키 생애 주기에 대한 자율성을 제공합니다. BYOK는 기업이 직접 제공하고 관리하는 커스텀 KMS 키를 사용한 저장 데이터 암호화를 지원합니다.

BYOK는 Mattermost Cloud Enterprise Dedicated 구독이 필요합니다. 이 구독은 기업이 데이터 암호화 프로세스를 완전히 제어할 수 있도록 하여 향상된 데이터 보안 및 컴플라이언스를 제공합니다.

Mattermost Cloud Enterprise Dedicated에서는 KMS 키를 2가지 방법으로 사용할 수 있습니다:

  • 모든 서비스에 하나의 KMS 키 사용, 또는
  • 서비스별 KMS 키 사용 (EBS, RDS, S3)
  • 키는 각 서비스에 고유할 필요가 없습니다.
  • 모든 서비스는 저장 데이터를 암호화해야 합니다.
  • 이 기능의 선택적 활성화를 지원할 수 있습니다.
  • 글로벌 데이터베이스가 필요한 경우 KMS 키를 2개(리전당 1개) 제공할 것을 권장합니다.

BYOK 설정#

  1. Enterprise 고객이 AWS KMS ARN을 Mattermost Infrastructure SRE 팀에 제공합니다.
  2. Enterprise 고객이 제공한 AWS KMS ARN에 대한 KMS 정책에 다음 블록을 추가합니다:
    3. {
    "Sid": "Allow use of the key",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::<MATTERMOST_AWS_ACCOUNT_ID>:user/mattermost-cloud-<environment>-provisioning-<VPC_ID>"
    },
    "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
    ],
    "Resource": "<CUSTOM_CUSTOMER_KMS_ID>"
},
{
    "Sid": "Allow use of the key role nodes",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::<MATTERMOST_AWS_ACCOUNT_ID>:role/nodes.<CLUSTER_ID>-kops.k8s.local"
    },
    "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
    ],
    "Resource": "<CUSTOM_CUSTOMER_KMS_ID>"
},
  3. 고객 측에서 KMS 정책이 업데이트되면 Mattermost Infrastructure SRE 팀이 kops 클러스터와 S3, RDS 리소스를 업데이트합니다.

또는, Enterprise 고객이 Mattermost가 고객을 대신해 관리하는 외부 키(비-KMS)를 Mattermost Infrastructure SRE 팀에 제공할 수 있습니다.

이 방법은 고객에게 더 적은 제어권을 제공하지만 설정 과정을 단순화합니다.

요구 사항#

  • 고객은 자신의 AWS 계정을 소유해야 합니다. (위에서 언급한 대안 경로에서는 이것이 Mattermost에 위임됩니다.)
  • 고객은 자신의 커스텀 KMS 키의 유지 관리 생애 주기를 직접 관리합니다.
  • 스토리지 및 데이터베이스 암호화를 위한 유효한 AWS KMS ARN을 Infrastructure SRE 팀에 제공해야 합니다.
  • 고객은 Infrastructure SRE 팀이 제공한 정책 블록을 자신의 KMS 키 정책에 통합해야 합니다.

고려 사항#

  • 데이터베이스의 AWS KMS 키를 변경하면 AWS Aurora의 암호화 제한 으로 인해 다운타임이 발생합니다.
  • 변경 사항에 대한 기대치 설정과 일정 조율을 위한 원활한 커뮤니케이션이 필수적입니다.

결론#

컴플라이언스 요구 사항이 있는 대기업이나 고도로 규제된 산업에 종사하는 경우, BYOK를 적용한 Mattermost Cloud Dedicated를 사용하면 완전한 데이터 제어가 보장됩니다.

추가 도움이나 문의 사항이 있으면 Mattermost 전문가 에게 문의하세요.

Cloud Dedicated Bring Your Own Key

원문 보기
요약

BYOK(Bring Your Own Key)는 Enterprise Cloud 고객에게 암호화 키 생애 주기에 대한 자율성을 제공합니다. BYOK는 Mattermost Cloud Enterprise Dedicated 구독이 필요합니다.

BYOK(Bring Your Own Key)는 Enterprise Cloud 고객에게 암호화 키 생애 주기에 대한 자율성을 제공합니다. BYOK는 기업이 직접 제공하고 관리하는 커스텀 KMS 키를 사용한 저장 데이터 암호화를 지원합니다.

BYOK는 Mattermost Cloud Enterprise Dedicated 구독이 필요합니다. 이 구독은 기업이 데이터 암호화 프로세스를 완전히 제어할 수 있도록 하여 향상된 데이터 보안 및 컴플라이언스를 제공합니다.

Mattermost Cloud Enterprise Dedicated에서는 KMS 키를 2가지 방법으로 사용할 수 있습니다:

  • 모든 서비스에 하나의 KMS 키 사용, 또는
  • 서비스별 KMS 키 사용 (EBS, RDS, S3)
  • 키는 각 서비스에 고유할 필요가 없습니다.
  • 모든 서비스는 저장 데이터를 암호화해야 합니다.
  • 이 기능의 선택적 활성화를 지원할 수 있습니다.
  • 글로벌 데이터베이스가 필요한 경우 KMS 키를 2개(리전당 1개) 제공할 것을 권장합니다.

BYOK 설정#

  1. Enterprise 고객이 AWS KMS ARN을 Mattermost Infrastructure SRE 팀에 제공합니다.
  2. Enterprise 고객이 제공한 AWS KMS ARN에 대한 KMS 정책에 다음 블록을 추가합니다:
    3. {
    "Sid": "Allow use of the key",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::<MATTERMOST_AWS_ACCOUNT_ID>:user/mattermost-cloud-<environment>-provisioning-<VPC_ID>"
    },
    "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
    ],
    "Resource": "<CUSTOM_CUSTOMER_KMS_ID>"
},
{
    "Sid": "Allow use of the key role nodes",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::<MATTERMOST_AWS_ACCOUNT_ID>:role/nodes.<CLUSTER_ID>-kops.k8s.local"
    },
    "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
    ],
    "Resource": "<CUSTOM_CUSTOMER_KMS_ID>"
},
  3. 고객 측에서 KMS 정책이 업데이트되면 Mattermost Infrastructure SRE 팀이 kops 클러스터와 S3, RDS 리소스를 업데이트합니다.

또는, Enterprise 고객이 Mattermost가 고객을 대신해 관리하는 외부 키(비-KMS)를 Mattermost Infrastructure SRE 팀에 제공할 수 있습니다.

이 방법은 고객에게 더 적은 제어권을 제공하지만 설정 과정을 단순화합니다.

요구 사항#

  • 고객은 자신의 AWS 계정을 소유해야 합니다. (위에서 언급한 대안 경로에서는 이것이 Mattermost에 위임됩니다.)
  • 고객은 자신의 커스텀 KMS 키의 유지 관리 생애 주기를 직접 관리합니다.
  • 스토리지 및 데이터베이스 암호화를 위한 유효한 AWS KMS ARN을 Infrastructure SRE 팀에 제공해야 합니다.
  • 고객은 Infrastructure SRE 팀이 제공한 정책 블록을 자신의 KMS 키 정책에 통합해야 합니다.

고려 사항#

  • 데이터베이스의 AWS KMS 키를 변경하면 AWS Aurora의 암호화 제한 으로 인해 다운타임이 발생합니다.
  • 변경 사항에 대한 기대치 설정과 일정 조율을 위한 원활한 커뮤니케이션이 필수적입니다.

결론#

컴플라이언스 요구 사항이 있는 대기업이나 고도로 규제된 산업에 종사하는 경우, BYOK를 적용한 Mattermost Cloud Dedicated를 사용하면 완전한 데이터 제어가 보장됩니다.

추가 도움이나 문의 사항이 있으면 Mattermost 전문가 에게 문의하세요.