수동 세션 녹화 암호화 키 교체
이 가이드는 세션 녹화의 암호화 키를 교체하는 방법을 설명합니다. 자동 방법을 사용하는 방법은 세션 녹화 암호화 키 교체를 참조하세요. 세션 녹화 키 관리의 수동 방법에서 사용자는 Auth Service에 Teleport 세션 녹화를 암호화하는 데 사용되는 키의 유형과 레이블을 제공합니다.
이 가이드는 세션 녹화의 암호화 키를 교체하는 방법을 설명합니다.
자동 방법을 사용하는 방법은 세션 녹화 암호화 키 교체를 참조하세요.
작동 방식#
세션 녹화 키 관리의 수동 방법에서 사용자는 Auth Service에 Teleport 세션 녹화를 암호화하는 데 사용되는 키의 유형과 레이블을 제공합니다. 이런 방식으로 사용자는 Auth Service가 세션 녹화를 암호화하는 데 사용하는 키뿐만 아니라 Auth Service가 더 이상 암호화에 사용하지 않지만 저장된 세션 녹화 복호화에 사용할 수 있는 교체된 키를 제어합니다.
사전 요구사항#
이 가이드는 암호화된 세션 녹화의 설정 지침을 따랐다고 가정합니다.
수동 키 관리는 키 교체를 전적으로 관리자에게 맡기지만, manual_key_management 구성을 활용하여 교체를 용이하게 할 수 있습니다.
예를 들어, session_recording_001 레이블로 식별되는 활성 키가 있는 PKCS#11 호환 HSM을 사용하도록 구성된 기존 Teleport Auth Service를 가정합니다:
모든 구성 예시는 Teleport Auth Service 구성 파일과 동적 session_recording_config 리소스 사이에 사용 가능한 옵션이 동일하므로 간결함을 위해 encryption 구성 블록으로 축소됩니다.
encryption:
enabled: yes
manual_key_management:
enabled: yes
active_keys:
- type: pkcs11
label: 'session_recordings_001'
1단계/2단계. 새 키 추가#
새 키를 활성 키 목록에 추가할 수 있습니다:
encryption:
enabled: yes
manual_key_management:
enabled: yes
active_keys:
- type: pkcs11
label: 'session_recordings_002'
- type: pkcs11
label: 'session_recordings_001'
이 구성은 session_recordings_002 레이블을 사용하여 두 번째 키에 접근할 수 있을 것으로 예상합니다. Teleport는 접근 가능한 키에 대한 참조 캐시를 유지하며 주기적으로 업데이트하지만, manual_key_management 구성을 업데이트하기 전에 키가 존재하는지 확인하는 것이 모범 사례입니다.
2단계/2단계. 이전 키 교체#
이전 키를 활성 암호화 키 세트에서 교체된 키 세트로 이동할 수 있습니다:
encryption:
enabled: yes
manual_key_management:
enabled: yes
active_keys:
- type: pkcs11
label: 'session_recordings_002'
rotated_keys:
- type: pkcs11
label: 'session_recordings_001'
이제 모든 새 녹화는 session_recordings_002 레이블로 식별되는 키를 사용하여 암호화되고, session_recordings_001을 사용하여 암호화된 이전 녹화는 재생 가능한 상태로 유지됩니다.