2013年1月30日水曜日

SecureCloudで鍵情報の抽出と適用(鍵管理サーバが利用できないときに)

スズキです。

以下で紹介したEBS暗号化ツールのSecureCloudですが、
EBS暗号化ツールSecureCloudを使ってみる(登録編)

EBS暗号化ツールSecureCloudを使ってみる(CentOS6編)
暗号化に利用する鍵を外部の鍵管理サーバで管理しているため、
鍵管理サーバと通信できなくなった場合、"SecureCloud Agent"を再起動すると、
暗号化されたEBSをマウントできなくなってしまいます。

当然その場合の対策は用意されていて、その方法は、事前に鍵情報を管理コンソールから
抽出しておき、問題発生時に、その鍵情報を"SecureCloud Agent"に適用する形と
なっています。

実際の手順は下記の通りです。

管理コンソールでの作業


Roleが"Security Administrator"のユーザーを作成します。


確認メールが送信されるので、文中のリンクをクリックします。


上記で作成したユーザーのパスワードを設定しログインします。


対象のEBSボリュームを選択してExportします。


パスフレーズの入力が必要になるので、適当なもの(後で必要)を入力します。


"SecureCloudDeviceKeys-2013-01-29.zip"のようなファイル名でキーが抽出できます。

EC2(SecureCloud Agent)での作業


展開したキーファイルを配置します。
# cd /root/
# ls -1
vol-xxxxxxxx.xml

キーファイルを適用します。
# cd /var/lib/securecloud
# ./keyexporter.sh /root/vol-xxxxxxxx.xml 
Enter Backup Password: 
Please enter original Access Key ID: ACCESS_KEY
Please enter original Secret Access Key: SECRET_KEY

Accessing device. Please wait....

The device [vol-xxxxxxxx] has been mounted to [/mnt/test]. Once finished, run 'umount /mnt/test'

これで鍵管理サーバと通信できなくても、暗号化ディスクをマウントすることができます。

ぶっちゃけ、作業メモです。。。
--------
http://www.suz-lab.com

0 コメント: