본문으로 건너뛰기

1) EKMS 앱 등록

MASTER-TENANT 앱 등록

설명
  • EKMS는 클라이언트에게 서비스를 제공하기 위해 Security365 인증/인가 서비스와 유기적으로 동작한다.
  • 이를 위해 앱에 대한 기본적인 정보를 Security365 앱 서비스에 등록 해야 한다. (수동 작업)

master-tenant에 앱(서비스) 등록

  • EKMS가 인증/인가 서비스 API를 사용하기 위한 앱 등록
  • EKMS는 멀티 테넌트(회사)를 지원할 예정이므로 master-tenant에 등록한다. (최초 1번)
ekms_master_appRegi
  • 앱 서비스 이름 : EKMS
  • 인증 타입 : client_credentials
  • 인증/인가 API를 사용하기 위해 접근 범위(scope) 필수 설정
    ClientAppInfo.ReadWrite, PolicyInfo.ReadWrite, CompanyInfo.ReadWrite, CustomInfo.ReadWrite, UserInfo.ReadWrite
  • Notify 설정 : 전체 회사 리스트의 공개키 캐싱 및 master-tenant에 등록한 앱서비스의 built-in 프로파일 업데이트를 위해 사용
  • Notify URL : http://cloud-ekms-service.dev.svc.cluster.local/api
  • Notify target : company, profile

등록 완료 후 표시되는 앱 서비스 ID 및 Secret key는 EKMS Deploy 시 ConfigMap의 해당하는 키의 값으로 입력

  • 앱 서비스 Secret key는 최초에만 확인이 가능하므로 별도 저장 필요(중요)
ekms_master_idSecret

[ConfigMap 입력 항목]

  • CUSTOM_AUTH_SERVICE_EXTRA : mater-tenant 의 회사ID (tenant ID)
  • CUSTOM_APP_TENANT_ID : master-tenant에 등록된 앱 서비스 ID(client id) 값 입력
  • CUSTOM_APP_TENANT_SECRET : master-tenant에 등록된 앱 서비스 Secret key 값 입력

master-tenant의 정책 프로파일 설정

  • master-tenant에 등록된 속성은 모든 회사에 자동으로 생성 된다.
  • BUILT-IN-PROFILE 메뉴에서 master-tenant 선택 후 프로파일 속성 값의 Key만 입력한다. (대문자 입력)
  • TENANT_APP_ID : 회사별 APP_ID
  • TENANT_APP_SECRET : 회사별 APP_SECRET
  • SL_ENC_TYPE_INFO : 암호화 정책(MAC : M^대외비|0000001 / DAC : D^SECURITYDOMAIN|111001100 / GRADE : G^1등급|0000001)
  • LOCAL_TEMP_FOLDER : 로컬 임시 폴더
  • CUSTOM_HEADER_KEY : 기존 고객사에서 사용하는 커스텀 헤더키
    • 해당 정책은 Value 입력 필요(고정값) : AVdoskcyLVr72U7N/lCbiw==

회사 별 앱 등록

신규 추가된 회사에 앱(서비스) 등록

  • 추가된 회사가 EKMS 서비스를 사용하기 위한 앱 등록
  • EKMS를 사용하려는 회사별로 앱 등록이 필요
ekms_company_appRegi
  • 앱 서비스 이름 : EKMS
  • 인증 타입 : authorization_code, password, client_credentials
  • 인증/인가 API를 사용하기 위해 접근 범위(scope) 필수 설정
    PolicyInfo.ReadWrite
  • Notify 설정 : 등록한 앱서비스의 built-in 프로파일 업데이트를 위해 사용
  • Notify URL : http://cloud-ekms-service.dev.svc.cluster.local/api
  • Notify target : profile

등록 완료 후 표시되는 앱 서비스 ID 및 Secret key는 각 회사별 정책 프로파일 관리 > BUILT-IN-PROFILE 탭 메뉴에서 사용

  • 등록 후 생성된 App Secret은 최초에만 확인이 가능하므로 별도 저장 필요(중요)
ekms_company_idSecret
  • 앱 사용을 위해 앱 서비스 관리 > 회사 선택 > EKMS 앱 서비스 사용 활성화 필수
ekms_company_appUse

신규 추가된 회사의 정책 프로파일 설정

  • BUILT-IN-PROFILE 메뉴에서 신규 회사 선택 후 프로파일 속성 값의 Value를 입력한다.
ekms_company_builtIn
  • TENANT_APP_ID : 회사 앱 등록 시 발급받은 APP_ID
  • TENANT_APP_SECRET : 회사 앱 등록 시 발급받은 APP_SECRET
  • SL_ENC_TYPE_INFO : 암호화 정책(MAC : M^대외비|0000001 / DAC : D^SECURITYDOMAIN|111001100 / GRADE : G^1등급|0000001)
  • LOCAL_TEMP_FOLDER : temp
  • EDGE_SKMS_URL : EDGE 서버 사용 시 SKMS URL 정보 입력(https://devskms.softcamp.co.kr)
  • EDGE_KMS_URL : EDGE 서버 사용 시 키볼트 URL 정보 입력(https://devkms.softcamp.co.kr)

등록된 회사의 빌트인 프로파일 정책 설명

  • Key : TENANT_APP_ID
  • Information
회사 별 App Id
  • Value
71435bda-dc23-428b-92dd-2281383b0de4
  • Key : TENANT_APP_SECRET
  • Information
회사 별 App Secret
  • Value
IicqIigsIiIpLCsrIysjKSElKCsmJikqJywqKSMnIyI
  • Key : SL_ENC_TYPE_INFO
  • Information
암호화 타입 별 정책 설정 방법
MAC : M^대외비|0000001
DAC : D^SECURITYDOMAIN|111001100
GRADE : G^1등급|0000001^SECURITYDOMAIN|111001100^demo04|010001111
  • Value
M^대외비|0000001
  • Key : RSA_INFO
  • Information
가장 최근에 발급된 RSA 키 정보
  • Value
[
  {
    "key_id": "27253522648700",
    "public_key": "MIIBI...",
    "private_key": "MIIEv...",
    "insert_date": "2022-10-12 16:01:22"
  },
  ...
]
  • Key : KEYFILE_INFO
  • Information
단일 서버로 업로드 된 키 파일 정보
sci_server_id : SCI 서버 아이디
  - EKMS 서비스 시작 시 키 파일 업로드로 KMS 에 등록된 서버 아이디를 조회하여 자동으로 추가함 
    (없는 경우 NoRegisteredId)
purpose : 용도
details : 상세 내용
rsa_key_id : RSA key Id
file_etag : File eTag
file_name : 키파일 이름
enc_type : 키파일 타입
rsa_enc_data : RSA 데이터
file_size : 키파일 크기(Byte)
insert_date : 등록일 (yyyy-MM-dd HH:mm:ss)
key_count : 키볼트 데이터 저장 후 처리된 키 카운트(합계|성공|실패|중복)
  • Value
[
  {
    "sci_server_id" : "TEST-SERVER",
    "purpose": "ekms 테스트용",
    "details": "ekms 테스트용",
    "rsa_key_id": "27253522648700",
    "file_etag": "183cea73ef7-9c3c",
    "file_name": "CloudkeyDAC.sc",
    "enc_type": "D",
    "rsa_enc_data": "KYN+...",
    "file_size": 39996,
    "insert_date": "2022-10-13 09:03:30",
    "key_count" : "105|0|0|105"
  },
  ...
]
  • Key : SUPPORT_FILE
  • Information
암복호화 지원 확장자 리스트(세미콜론으로 구분)
  • Value
doc;docx;docm;ppt;pptx;pptm;pdf;txt;odt;xls;xlsx;xlsm;xlsb;hwp;hwpx;bmp;jpg;jpeg;png;gif;tif;tiff;csv;gul;rtf;jtd;hwt;cell;show;
  • Key : USE_KEY_VAULT
  • Information
암복호화 시 키파일을 사용하지 않고 키볼트에서 조회
키파일 업로드 → 임시 파일로 저장 → 키 추출 후 키볼트에 저장 → 키파일 백업
키볼트 대신 키파일을 사용하기 위해서는 20230713.1 일자 이전 이미지 사용
  • Value
Y
  • Key : EDGE_SKMS_URL
  • Information
EDGE 서버 사용 시 SKMS URL 정보 입력
  • Value
https://devskms.softcamp.co.kr
  • Key : EDGE_KMS_URL
  • Information
EDGE 서버 사용 시 키볼트 URL 정보 입력
  • Value
https://devkms.softcamp.co.kr
  • Key : KEYFILE_INFO_MULTI
  • Information
다중 서버로 업로드 된 키 파일 정보
  • Value
[
  {
    "sci_server_id" : "TEST-SERVER",
    "purpose": "ekms 테스트용",
    "details": "ekms 테스트용",
    "rsa_key_id": "27253522648700",
    "file_etag": "183cea73ef7-9c3c",
    "file_name": "CloudkeyDAC.sc",
    "enc_type": "D",
    "rsa_enc_data": "KYN+...",
    "file_size": 39996,
    "insert_date": "2022-10-13 09:03:30",
    "key_count" : "105|0|0|105"
  },
  ...
]