Translated message

A translation of this page exists in English.

OSD および ROSA の KMS を使用した Bring Your Own Key (BYOK) の有効化

更新 -

免責事項: 以下に示す外部の Web サイトへのリンクは、お客様の利便性のみを目的として提供しています。Red Hat はリンクの内容を確認しておらず、コンテンツまたは可用性について責任を負わないものとします。外部の Web サイトへのリンクを含めることは、Web サイトまたはそれらの法的主体、製品またはサービスについて Red Hat が承認したことを意味するものではありません。お客様は、外部サイトまたはコンテンツの使用 (または信頼) によって生じる損失または費用について、Red Hat が責任を負わないことに同意するものとします。

前提条件

  • カスタマークラウドサブスクリプション (CCS) クラスターの要件を満たす AWS アカウント。
  • IAM マスターロールに KMS キーへのアクセスを許可する AWS Key Management Service (KMS) ポリシー。

手順

独自の暗号化キーを使用して、クラスターで使用される Amazon Elastic Block Store (EBS) ボリュームを暗号化するには、デフォルトの EBS KMS キーを設定する必要があります。AWS を使用して、クラスターをプロビジョニングしているリージョンにカスタマーマスターキーを設定します。

  1. 新しい KMS キーを作成します (必要に応じて TagKey、TagValue、および description を調整します)。
    2. aws kms create-key --tags TagKey=Purpose,TagValue=Test --description "My new KMS Key"
  2. Amazon Elastic Compute Cloud (EC2) が EBS ボリュームの暗号化に使用するデフォルトの KMS キーを更新します。このデフォルトはリージョンごとに設定されるため、クラスターをプロビジョニングしているリージョンで必ず更新してください。
    3. aws ec2 modify-ebs-default-kms-key-id --kms-key-id $KMS_KEY_AR --region <region_name>
  3. クラスターをプロビジョニングします。
    クラスターがインストールされると、prometheus および alertmanager PVC は保留状態になります。
  4. KMS ポリシーで KMS キーへのアクセスを許可します。
    関連するマスターロールにカスタマーマスターキーへのアクセスを許可する KMS ポリシーを使用する必要があります。
    デフォルトでは、KMS ポリシーにはアカウントの root ユーザーのみがプリンシパルとしてリストされます。KMS ポリシーを更新して、アカウントの root ユーザーにマスターロールのアクセスを許可する必要があります。
    注: マスターロールの名前はインストール時に生成されるため、クラスターのインストール後に KMS ポリシーの更新を完了する必要があります。
    master_role_name は、AWS コンソールの IAM ロールの下にあり、次の形式が含まれています。<cluster_name>-<generated-string>-master-role
    生成されたロール名の例は次のとおりです: clustername-abcd-efgh-123-ij4k5-master-role 
    {
    "Version": "2012-10-17",
    "Id": "key-default-1",
    "Statement": [
        {
            "Sid": "Enable IAM User Permissions",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::112233445566:root",
                    "arn:aws:iam::112233445566:role/"
                ]
            },
            "Action": "kms:*",
            "Resource": "*"
        }
    ]
}

    5. これで、KMS キーがマスターロールに対して使用可能になります。

  5. この KMS ポリシーに、必要な KMS アクションのみをマスターロールに付与する追加のポリシーステートメントを追加できます。

    6. KMS ポリシーが更新されると、暗号化に指定された KMS キーを使用して、Prometheus PVC が自動的に作成されます。

その他のリソース:
リージョン内のアカウントの EBS 暗号化用のデフォルトのカスタマーマスターキー (CMK) を変更する方法の詳細は、[Amazon web services: modify-ebs-default-kms-key-id] (https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/modify-ebs-default-kms-key-id.html) を参照してください。

Comments