클라우드 전용 Bring Your Own Key#

plans-img Enterprise 플랜에서만 사용 가능

deployment-img Cloud Dedicated 배포에서만 사용 가능

Bring Your Own Key(BYOK)는 Enterprise Cloud 고객에게 암호화 키 수명 주기에 대한 자율성을 제공합니다. BYOK는 기업이 제공하고 관리하는 사용자 정의 KMS 키를 사용하여 저장 데이터 암호화를 지원합니다.

BYOK는 Mattermost Cloud Enterprise Dedicated 구독이 필요하며, 이는 기업이 데이터 암호화 프로세스를 완전히 제어할 수 있도록 하여 향상된 데이터 보안 및 규정 준수를 제공합니다.

Mattermost Cloud Enterprise Dedicated에서는 KMS 키를 2가지 방식으로 사용할 수 있습니다:

  • 모든 서비스에 하나의 KMS 키 사용; 또는,

  • 서비스별 KMS 키 (EBS, RDS, S3)

    • 키는 각 서비스마다 고유할 필요가 없습니다.

    • 모든 서비스는 저장 시 암호화되어야 합니다.

    • 이 기능의 선택적 활성화를 지원할 수 있습니다.

    • 전역 데이터베이스가 필요한 경우 2개의 KMS 키(리전당 1개)를 제공하는 것을 권장합니다.

BYOK 구성#

  1. Enterprise 고객은 AWS KMS ARN을 Mattermost 인프라 SRE 팀에 제공합니다.

  2. Enterprise 고객은 제공된 AWS KMS ARN에 대해 KMS 정책에 다음 블록을 추가합니다:

{
    "Sid": "Allow use of the key",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::<MATTERMOST_AWS_ACCOUNT_ID>:user/mattermost-cloud-<environment>-provisioning-<VPC_ID>"
    },
    "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
    ],
    "Resource": "<CUSTOM_CUSTOMER_KMS_ID>"
},
{
    "Sid": "Allow use of the key role nodes",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::<MATTERMOST_AWS_ACCOUNT_ID>:role/nodes.<CLUSTER_ID>-kops.k8s.local"
    },
    "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
    ],
    "Resource": "<CUSTOM_CUSTOMER_KMS_ID>"
},

  1. Mattermost 인프라 SRE 팀은 고객 측에서 KMS 정책이 업데이트된 후 kops 클러스터와 S3, RDS 리소스를 업데이트합니다.

또는 Enterprise 고객은 Mattermost가 고객을 대신하여 관리하는 외부 키(non-KMS)를 Mattermost 인프라 SRE 팀에 제공할 수 있습니다. 이 경로는 고객에게 더 적은 제어권을 제공하지만 설정 프로세스를 단순화합니다.

요구사항#

  • 고객은 AWS 계정을 소유해야 합니다. (위에서 언급한 대체 경로에서는 이 권한이 Mattermost에 위임됩니다.)

  • 고객은 자신의 맞춤형 KMS 키의 유지 관리 수명 주기를 관리합니다.

  • 저장소 및 데이터베이스 암호화를 위한 유효한 AWS KMS ARN을 인프라 SRE 팀에 제공해야 합니다.

  • 고객은 인프라 SRE 팀에서 제공한 정책 블록을 KMS 키 정책에 통합해야 합니다.

고려사항#

  • 데이터베이스의 AWS KMS 키를 변경하려면 AWS Aurora의 암호화 제한 사항 으로 인해 다운타임이 필요합니다.

  • 적절한 의사소통은 기대치 설정과 변경 일정 조정에 필수적입니다.

결론#

규정 준수 요구사항이 있는 대기업이거나 규제가 엄격한 산업에서 일하는 경우, BYOK가 포함된 Mattermost Cloud Dedicated를 사용하면 데이터를 완전히 제어할 수 있습니다.

추가 도움이나 문의사항이 있으면 Mattermost 전문가 와 상담하세요.