2.3.3. S3 서버 측 암호화
Ceph Object Gateway는 S3 애플리케이션 프로그래밍 인터페이스(API)에 대해 업로드된 오브젝트의 서버 측 암호화를 지원합니다. 서버 측 암호화는 S3 클라이언트가 암호화되지 않은 형식으로 HTTP를 통해 데이터를 전송하며, Ceph Object Gateway는 암호화된 형식으로 해당 데이터를 Red Hat Ceph Storage 클러스터에 저장합니다.
Red Hat은 Static Large Object(SLO) 또는 Dynamic Large Object(DLO)의 S3 개체 암호화를 지원하지 않습니다.
암호화를 사용하려면 클라이언트 요청이 SSL 연결을 통해 요청을 보내야 합니다. Ceph Object Gateway에서 SSL을 사용하지 않는 한 Red Hat은 클라이언트의 S3 암호화를 지원하지 않습니다. 그러나 관리자는 런타임에 rgw_crypt_require_ssl 구성 설정을 false 로 설정하고, Ceph 구성 파일에서 false 로 설정하고, 게이트웨이 인스턴스를 다시 시작하거나, Ceph 구성 파일에서 false 로 설정하고, Ceph Object Gateway를 위해 Ansible 플레이북을 재생하여 테스트 중에 SSL을 비활성화할 수 있습니다.
프로덕션 환경에서는 SSL을 통해 암호화된 요청을 보낼 수 없습니다. 이러한 경우 서버 측 암호화와 함께 HTTP를 사용하여 요청을 보냅니다.
서버 측 암호화를 사용하여 HTTP를 구성하는 방법에 대한 자세한 내용은 아래의 추가 리소스 섹션을 참조하십시오.
암호화 키 관리를 위한 두 가지 옵션이 있습니다.
고객 제공 키
고객 제공 키를 사용하는 경우 S3 클라이언트는 암호화된 데이터를 읽거나 쓰기 위해 각 요청과 함께 암호화 키를 전달합니다. 이러한 키를 관리하는 것은 고객의 책임입니다. 고객은 각 오브젝트를 암호화하는 데 사용된 Ceph Object Gateway의 키를 기억해야 합니다.
Ceph Object Gateway는 Amazon SSE-C 사양에 따라 S3 API에서 고객 제공 키 동작을 구현합니다.
고객은 키 관리를 처리하고 S3 클라이언트가 키를 Ceph Object Gateway에 전달하므로 Ceph Object Gateway에는 이 암호화 모드를 지원하기 위한 특별한 구성이 필요하지 않습니다.
키 관리 서비스
키 관리 서비스를 사용하는 경우 보안 키 관리 서비스는 키를 저장하고 Ceph Object Gateway는 데이터를 암호화하거나 해독하는 요청을 처리하기 위해 필요에 따라 검색합니다.
Ceph Object Gateway는 Amazon SSE-KMS 사양에 따라 S3 API에서 키 관리 서비스 동작을 구현합니다.
현재 테스트된 유일한 키 관리 구현은 HashiCorp Vault 및 OpenStack Barbican입니다. 그러나 OpenStack Barbican은 기술 프리뷰이며 프로덕션 시스템에서 사용할 수 없습니다.
