하드웨어 보안 모듈에서 자체 키 조달
이 주제에서는 Azure용 GKE에서 저장 데이터 암호화에 자체 Azure Key Vault 하드웨어 보안 모듈(HSM) 키를 사용하는 방법을 설명합니다.
시작하기 전에
이 단계를 수행하기 전에 Azure용 GKE의 보안 아키텍처를 숙지해야 합니다.
이 단계를 수행하려면 다음이 필요합니다.
Azure 역할 기반 액세스 제어 권한 모델을 사용하는 Azure Key Vault
Azure Key Vault 승인을 관리하고 제공된 키로 데이터를 암호화할 수 있는 권한이 있는 Azure용 GKE 서비스 주 구성원
이러한 권한을 부여하는 가장 쉬운 방법은
Key Vault Crypto Officer및User Access AdministratorAzure 기본 제공 역할을 서비스 주 구성원에 할당하는 것입니다.
키 자체 조달
자체 키를 가져오려면 다음 단계를 수행합니다.
Azure Key Vault 키 ID를 환경 변수에 저장합니다.
export KEY_VAULT_ID="$(az keyvault show --name ${KEY_VAULT_NAME} \ --resource-group ${RESOURCE_GROUP} --query id -otsv)" export KEY_VAULT_KEY_ID="${KEY_VAULT_ID}/keys/${KEY_NAME}"클러스터를 만들 때
--config-encryption-key-id매개변수로 키 ID를 전달합니다.gcloud container azure clusters create CLUSTER_NAME \ --config-encryption-key-id ${KEY_VAULT_KEY_ID} \ ...클러스터 만들기 단계를 계속 진행합니다.
다음 단계
Azure 문서의 키 정보 참조