「その1」で、HPCSの初期セットアップまで完了しました。
今回は、HPCS上に鍵を作成し、その鍵を使って他サービスのデータを暗号化してみます。
基本的には下記の手順に従います。
https://cloud.ibm.com/docs/openshift?topic=openshift-encryption#keyprotect
HPCSにルート鍵を作成
HPCSの「KMS鍵」の画面で、「鍵の追加」を押下します。
ルート鍵を任意の名前で作成します。
ルート鍵が作成されます。
ROKSで鍵管理サービス(KMS)有効化
ROKSの「概要」ページから、鍵管理サービスの有効化を行います。
注意書きに書いてあるように、この設定を一度有効にすると、再度無効にすることはできません。
先ほど作成したHPCSサービスとルート鍵を選択します。
鍵管理サービスとの連携が有効化された状態になります。
また、HPCSの「KMS関連リソース」の画面に、ROKSクラスターの情報が表示されます。
ルート鍵を無効化
上記までで設定は完了ですが、これだけだと、本当にHPCSとROKSが連携して動いているか、少し実感が湧きづらいです。
連携されていることを可視化する1つの方法として、HPCSのルート鍵を無効化すると、ROKSクラスターが正常に使えなくなるので試してみます。
HPCSのKMS鍵の画面から、使用しているルート鍵を無効化します。
ROKSのステータスが異常になっていきます。
(下記の状態になるまでに、多少時間がかかりました)
ルート鍵を再度有効化
ルート鍵を有効化すると、ROKSクラスターのステータスも正常に戻りました。
ルート鍵が再度有効化されます。
ROKSのステータスが正常に戻りました。
以上です。