2.12.2. Vault 용 비밀 엔진
HseaCorp Vault는 데이터를 생성, 저장 또는 암호화할 수 있는 여러 가지 비밀 엔진을 제공합니다. API(애플리케이션 프로그래밍 인터페이스)는 해당 데이터에 대한 작업을 요청하는 시크릿 엔진에 데이터 호출을 전송하고 시크릿 엔진은 해당 작업 요청의 결과를 반환합니다.
Ceph Object Gateway는 H¢Corp Vault 비밀 엔진을 2개 지원합니다.
- 키/값 버전 2
- 전환
키/값 버전 2
키/값 시크릿 엔진은 Vault 내에 디스크의 임의 시크릿을 저장합니다. kv 엔진 버전 2를 사용하면 키에 구성 가능한 개수의 버전이 있을 수 있습니다. 기본 버전 수는 10입니다. 버전을 삭제하면 기본 데이터가 삭제되지 않지만 데이터가 삭제된 것으로 표시되므로 삭제된 버전을 삭제하지 않을 수 있습니다. 키 이름은 문자열이어야 하며, 명령줄 인터페이스를 사용할 때 엔진은 문자열이 아닌 값을 문자열로 변환합니다. 문자열이 아닌 값을 보존하려면 JSON 파일을 제공하거나 HTTP API(애플리케이션 프로그래밍 인터페이스)를 사용합니다.
ACL(액세스 제어 목록) 정책의 경우 Key/Value secret 엔진은 생성과 업데이트 기능 간의 차이점을 인식합니다.
전환
Transit 비밀 엔진은 전송 중인 데이터에서 암호화 기능을 수행합니다. Transit 비밀 엔진은 해시를 생성할 수 있으며 임의 바이트의 소스일 수 있으며 데이터를 서명하고 확인할 수도 있습니다. Vault는 Transit 비밀 엔진을 사용할 때 데이터를 저장하지 않습니다. Transit 비밀 엔진은 동일한 키를 여러 용도로 사용할 수 있도록 함으로써 키 파생을 지원합니다. 또한 전송 비밀 엔진은 키 버전 지정을 지원합니다. Transit 비밀 엔진은 다음과 같은 주요 유형을 지원합니다.
aes128-gcm96- 128비트 AES 키와 96비트 nonce를 사용하는 AES-GCM; 암호화, 암호 해독, 키 파생 및 통합 암호화 지원
aes256-gcm96- 256비트 AES 키와 96비트 nonce를 사용하는 AES-GCM; 암호화, 암호 해독, 키 파생 및 통합 암호화(기본값) 지원
chacha20-poly1305- 256비트 키가 있는 ChaCha20-Poly1305, 암호화, 암호 해독, 키 파생 및 통합된 암호화 지원
ed25519- Ed25519; 서명, 서명 확인 및 키 파생 지원
ecdsa-p256- 곡선 P-256을 사용하는 ECDSA; 서명 및 서명 확인 지원
ecdsa-p384- 곡선 P-384를 사용하는 ECDSA; 서명 및 서명 확인 지원
ecdsa-p521- 곡선 P-521을 사용하는 ECDSA, 서명 및 서명 확인 지원
rsa-2048- 2048비트 RSA 키. 암호화, 암호 해독, 서명 및 서명 확인 지원
rsa-3072- 3072비트 RSA 키; 암호화, 암호 해독, 서명 및 서명 확인 지원
rsa-4096- 4096비트 RSA 키; 암호화, 암호 해독, 서명 및 서명 확인 지원
추가 리소스
- 자세한 내용은 Vault의 프로젝트 사이트에 대한 KV Secrets Engine 설명서를 참조하십시오.
- 자세한 내용은 Vault의 프로젝트 사이트에 대한 Transit Secrets Engine 설명서를 참조하십시오.
