Cloud Dedicated Bring Your Own Key
Enterprise 플랜에서 사용 가능
Cloud Dedicated 배포판
Bring Your Own Key (BYOK)는 기업용 클라우드 고객에게 암호화 키 수명주기에 대한 자유를 제공합니다. BYOK는 기업이 제공하고 유지하는 사용자 정의 KMS 키를 사용하여 데이터 안에서 암호화를 지원합니다.
BYOK는 Mattermost 클라우드 엔터프라이즈 전용 구독을 필요로 하며, 이를 통해 기업이 데이터 암호화 프로세스를 완전히 제어하여 데이터 보안 및 규정 준수를 강화할 수 있습니다.
Mattermost 클라우드 엔터프라이즈 전용에서는 KMS 키를 다음 두 가지 방법으로 사용할 수 있습니다:
모든 서비스에 대한 하나의 KMS 키 또는
- 서비스별 KMS 키 (EBS, RDS, S3)
각 서비스에 대해 고유한 키가 필요하지는 않습니다.
모든 서비스는 안에서 암호화되어야 합니다.
이 기능의 선택적 활성화가 지원될 수 있습니다.
전역 데이터베이스가 필요한 경우, 각 지역당 2개의 KMS 키를 제공하는 것을 권장합니다 (지역당 1개).
BYOK 구성
기업 고객이 자사의 AWS KMS ARN을 Mattermost 인프라 SRE 팀에 제공합니다.
기업 고객이 AWS KMS ARN을 위해 다음 블록을 자사의 KMS 정책에 추가합니다:
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::<MATTERMOST_AWS_ACCOUNT_ID>:user/mattermost-cloud-<environment>-provisioning-<VPC_ID>"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "<CUSTOM_CUSTOMER_KMS_ID>"
},
{
"Sid": "Allow use of the key role nodes",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::<MATTERMOST_AWS_ACCOUNT_ID>:role/nodes.<CLUSTER_ID>-kops.k8s.local"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "<CUSTOM_CUSTOMER_KMS_ID>"
},
Mattermost 인프라 SRE 팀은 고객 측 KMS 정책이 업데이트된 후 kops 클러스터 및 S3, RDS 리소스를 업데이트합니다.
또는, 기업 고객은 Mattermost가 고객을 대신하여 관리하는 외부 키 (비-KMS)를 제공할 수 있습니다. 이 경로는 고객에게는 덜한 제어 권한을 제공하지만 설정 프로세스를 간소화합니다.
요구 사항
고객은 자사의 AWS 계정을 소유해야 합니다. (위에서 언급한 대체 경로에서는 Mattermost가 이를 위임합니다.)
고객은 자사의 사용자 정의 KMS 키의 유지 관리 수명주기를 감독해야 합니다.
데이터 저장 및 데이터베이스의 암호화를 위한 유효한 AWS KMS ARN이 인프라 SRE 팀에 제공되어야 합니다.
고객은 인프라 SRE 팀으로부터 제공된 정책 블록을 자사의 KMS 키 정책에 통합해야 합니다.
고려 사항
데이터베이스에서 AWS KMS 키를 변경하는 것은 AWS Aurora의 암호화 제한 때문에 다운타임을 필요로 합니다.
적절한 커뮤니케이션은 기대치 설정과 변경 일정을 위해 중요합니다.
결론
규정 준수 요구 사항이 있는 대규모 기업이나 엄격한 규제 산업에서 작업하는 경우, BYOK를 사용하는 Mattermost 클라우드 전용을 통해 데이터를 완전히 제어할 수 있습니다.
추가 지원이나 문의사항이 있으시면, 지원팀에 문의하십시오 .
