メインコンテンツまでスキップ

1) EKMSアプリの登録

MASTER-TENANT アプリ登録

説明
  • EKMSはクライアントにサービスを提供するためにSecurity365認証/認可サービスと有機的に動作します。
  • これを行うために、アプリに関する基本情報をSecurity365アプリサービスに登録する必要があります。(手動作業)

マスター・テナントにアプリ(サービス)を登録

  • EKMSによる認証/認可サービスAPIを使用するためのアプリ登録
  • EKMSはマルチテナント(会社)をサポートする予定なので、master-tenantに登録します。(初回1回)
ekms_master_appRegi
  • アプリサービス名 : EKMS
  • 認証タイプ : client_credentials
  • 認証/認可APIを使用するためにアクセス範囲(scope)の必須設定
    ClientAppInfo.ReadWrite, PolicyInfo.ReadWrite, CompanyInfo.ReadWrite, CustomInfo.ReadWrite, UserInfo.ReadWrite
  • Notify設定 : 全社リストの公開鍵キャッシュおよびmaster-tenantに登録したアプリサービスのbuilt-inプロファイル更新のために使用
  • Notify URL : http://cloud-ekms-service.dev.svc.cluster.local/api
  • Notify target : company, profile

登録完了後に表示されるアプリサービスIDおよびSecret keyは、EKMS Deploy時にConfigMapの該当するキーの値として入力します。

  • アプリサービスのSecret keyは最初にのみ確認可能なため、別途保存が必要です(重要)。
ekms_master_idSecret

[ConfigMap 入力項目]

  • CUSTOM_AUTH_SERVICE_EXTRA : mater-tenant の会社ID (tenant ID)
  • CUSTOM_APP_TENANT_ID : master-tenantに登録されたアプリサービスID(client id)の値を入力してください。
  • CUSTOM_APP_TENANT_SECRET : master-tenantに登録されたアプリサービスのSecret key値を入力してください。

マスター・テナントのポリシープロファイル設定

  • master-tenantに登録された属性はすべての会社に自動的に生成されます。
  • BUILT-IN-PROFILE メニューで master-tenant を選択した後、プロファイル属性値の Key のみを入力します。(大文字で入力)
  • TENANT_APP_ID : 会社別 APP_ID
  • TENANT_APP_SECRET : 会社ごとの APP_SECRET
  • SL_ENC_TYPE_INFO : 暗号化ポリシー(MAC : M^機密|0000001 / DAC : D^セキュリティドメイン|111001100 / GRADE : G^1等級|0000001)
  • LOCAL_TEMP_FOLDER : ローカル一時フォルダー
  • CUSTOM_HEADER_KEY : 既存の顧客が使用しているカスタムヘッダーキー
    • 該当のポリシーはValue入力が必要です(固定値):AVdoskcyLVr72U7N/lCbiw==

会社別アプリ登録

新規追加された会社にアプリ(サービス)を登録

  • 追加された会社がEKMSサービスを使用するためのアプリ登録
  • EKMSを使用しようとする会社ごとにアプリの登録が必要です。
ekms_company_appRegi
  • アプリサービス名 : EKMS
  • 認証タイプ : authorization_code, password, client_credentials
  • 認証/認可APIを使用するためにアクセス範囲(scope)の必須設定
    PolicyInfo.ReadWrite
  • Notify設定 : 登録したアプリサービスのbuilt-inプロファイルを更新するために使用
  • Notify URL : http://cloud-ekms-service.dev.svc.cluster.local/api
  • Notify target : profile

登録完了後に表示されるアプリサービスIDおよびSecret keyは、各会社のポリシープロファイル管理 > BUILT-IN-PROFILEタブメニューで使用します。

  • 登録後に生成されたApp Secretは最初にのみ確認可能なため、別途保存が必要です(重要)。
ekms_company_idSecret
  • アプリを使用するためには、アプリサービス管理 > 会社選択 > EKMSアプリサービスの使用を有効にする必要があります。
ekms_company_appUse

新規追加された会社のポリシープロファイル設定

  • BUILT-IN-PROFILE メニューで新しい会社を選択した後、プロファイル属性値の Value を入力します。
ekms_company_builtIn
  • TENANT_APP_ID : 会社アプリ登録時に発行されたAPP_ID
  • TENANT_APP_SECRET : 会社アプリ登録時に発行されたAPP_SECRET
  • SL_ENC_TYPE_INFO : 暗号化ポリシー(MAC : M^機密|0000001 / DAC : D^セキュリティドメイン|111001100 / GRADE : G^1等級|0000001)
  • LOCAL_TEMP_FOLDER : temp
  • EDGE_SKMS_URL : EDGEサーバー使用時のSKMS URL情報を入力
  • EDGE_KMS_URL : EDGEサーバー使用時のキーボルトURL情報入力

登録された会社のビルトインプロファイルポリシーの説明

  • Key : TENANT_APP_ID
  • Information
회사 별 App Id
  • Value
71435bda-dc23-428b-92dd-2281383b0de4
  • Key : TENANT_APP_SECRET
  • Information
회사 별 App Secret
  • Value
IicqIigsIiIpLCsrIysjKSElKCsmJikqJywqKSMnIyI
  • Key : SL_ENC_TYPE_INFO
  • Information
암호화 타입 별 정책 설정 방법
MAC : M^대외비|0000001
DAC : D^SECURITYDOMAIN|111001100
GRADE : G^1등급|0000001^SECURITYDOMAIN|111001100^demo04|010001111
  • Value
M^대외비|0000001
  • Key : RSA_INFO
  • Information
가장 최근에 발급된 RSA 키 정보
  • Value
[
  {
    "key_id": "27253522648700",
    "public_key": "MIIBI...",
    "private_key": "MIIEv...",
    "insert_date": "2022-10-12 16:01:22"
  },
  ...
]
  • Key : KEYFILE_INFO
  • Information
단일 서버로 업로드 된 키 파일 정보
sci_server_id : SCI 서버 아이디
  - EKMS 서비스 시작 시 키 파일 업로드로 KMS 에 등록된 서버 아이디를 조회하여 자동으로 추가함 
    (없는 경우 NoRegisteredId)
purpose : 용도
details : 상세 내용
rsa_key_id : RSA key Id
file_etag : File eTag
file_name : 키파일 이름
enc_type : 키파일 타입
rsa_enc_data : RSA 데이터
file_size : 키파일 크기(Byte)
insert_date : 등록일 (yyyy-MM-dd HH:mm:ss)
key_count : 키볼트 데이터 저장 후 처리된 키 카운트(합계|성공|실패|중복)
  • Value
[
  {
    "sci_server_id" : "TEST-SERVER",
    "purpose": "ekms 테스트용",
    "details": "ekms 테스트용",
    "rsa_key_id": "27253522648700",
    "file_etag": "183cea73ef7-9c3c",
    "file_name": "CloudkeyDAC.sc",
    "enc_type": "D",
    "rsa_enc_data": "KYN+...",
    "file_size": 39996,
    "insert_date": "2022-10-13 09:03:30",
    "key_count" : "105|0|0|105"
  },
  ...
]
  • Key : SUPPORT_FILE
  • Information
암복호화 지원 확장자 리스트(세미콜론으로 구분)
  • Value
doc;docx;docm;ppt;pptx;pptm;pdf;txt;odt;xls;xlsx;xlsm;xlsb;hwp;hwpx;bmp;jpg;jpeg;png;gif;tif;tiff;csv;gul;rtf;jtd;hwt;cell;show;
  • Key : USE_KEY_VAULT
  • Information
암복호화 시 키파일을 사용하지 않고 키볼트에서 조회
키파일 업로드 → 임시 파일로 저장 → 키 추출 후 키볼트에 저장 → 키파일 백업
키볼트 대신 키파일을 사용하기 위해서는 20230713.1 일자 이전 이미지 사용
  • Value
Y
  • Key : EDGE_SKMS_URL
  • Information
EDGE 서버 사용 시 SKMS URL 정보 입력
  • Value
https://devskms.softcamp.co.kr
  • Key : EDGE_KMS_URL
  • Information
EDGE 서버 사용 시 키볼트 URL 정보 입력
  • Value
https://devkms.softcamp.co.kr
  • Key : KEYFILE_INFO_MULTI
  • Information
다중 서버로 업로드 된 키 파일 정보
  • Value
[
  {
    "sci_server_id" : "TEST-SERVER",
    "purpose": "ekms 테스트용",
    "details": "ekms 테스트용",
    "rsa_key_id": "27253522648700",
    "file_etag": "183cea73ef7-9c3c",
    "file_name": "CloudkeyDAC.sc",
    "enc_type": "D",
    "rsa_enc_data": "KYN+...",
    "file_size": 39996,
    "insert_date": "2022-10-13 09:03:30",
    "key_count" : "105|0|0|105"
  },
  ...
]