Ceph Object Gatewayで使用する鍵を作成できるように、 HashiCorp Vault Transit シークレット・エンジン (transit) を構成します。 Ceph Object Gatewayを使用したサーバー・サイド暗号化に使用するには、Transit Secret エンジンで鍵を作成することがエクスポート可能でなければなりません。
開始前に
始める前に、以下の前提条件が整っていることを確認してください:
- 実行中の IBM Storage Ceph クラスター。
- HashiCorp Vault ソフトウェアのインストール。
- HashiCorp ボールト・ノードへのルート・レベル・アクセス。
手順
- Transit シークレット・エンジンを有効にします。
vault secrets enable transit
例:
[ root@vault ~]# vault secrets enable transit
- エクスポート可能鍵の新規作成
vault write -f transit/keys/BUCKET_NAME exportable=true
注: デフォルトでは、このコマンドは aes256-gcm96 タイプのキーを作成します。
例:
[ root@vault ~]# vault write -f transit/keys/mybucketkey exportable=true
- 鍵の作成を確認します。
注: 鍵のバージョンを含む鍵の絶対パスを指定する必要があります。
vault read transit/export/encryption-key/BUCKET_NAME/VERSION_NUMBER
例:
[ root@vault ~]# vault read transit/export/encryption-key/mybucketkey/1
Key Value
--- -----
キーマップ[ 1:-gbTI9lNpqv/V/2lDcmH2Nq1xKn6FPDWarCmFM2aNsQ= ]
マイバケットキー
タイプ aes256-gcm96