Skip to content
/ yc-encrypt-vm-disk-with-kms Public

Шифрование диска виртуальной машины с помощью Key Management Service (KMS).

License

Apache-2.0 license
0 stars 0 forks Branches Tags Activity
Star
Notifications You must be signed in to change notification settings

yandex-cloud-examples/yc-encrypt-vm-disk-with-kms

BranchesTags

Repository files navigation

Шифрование диска ВМ в Облаке с помощью YC KMS

Описание

  • Решение позволяет выполнять шифрование диска (кроме загрузочного) Yandex Compute Cloud ВМ с помощью Yandex Key Management Service и dm-crypt+LUKS
  • Развертывание решения и пререквизитов выполняется с помощью примера terraform скрипта

Схема работы

Схема

Описание работы решения

  • В cloud-init скрипт при развертывании ВМ передает необходимые данные
  • Устанавливается ПО: awscli, cryptsetup-bin, curl
  • Передается созданный terraform ssh ключ
  • На ВМ выполняется bash скрипт с аргументом create: создается ключ шифрования с высокой энтропией методом KMS generateDataKey и записывается на диск в открытом и зашифрованном виде
  • Шифруется и монтируется второй диск ВМ на основе ключа шифрования
  • Ключ в зашифрованном виде копируется в Yandex Object Storage и удаляется из файловой системы
  • Скрипт с аргументом open добавляется в автозагрузку ОС (чтобы при перезагрузке автоматически примонтировать шифрованный диск)
  • В момент монтирования ключ шифрования загружается из S3, далее расшифровывается и по окончанию монтирования удаляется из файловой системы

Все операции с KMS и Object Storage выполняются с помощью токена сервисного аккаунта, привязанного к ВМ при ее создании

Описание аргументов скрипта:

  • create: Скрипт выполняет создание ключа с высокой энтропией методом KMS generateDataKey
  • open: Монтирование зашифрованного диска в расшифрованный объект
  • close: Размонтирование зашифрованного устройства
  • erase: Удаление исходного устройства

Пререквизиты (настраиваются с помощью примера Terraform скрипта):

  • установить на ВМ yc client
  • создать сервисную УЗ
  • создать ключ KMS
  • назначить права на ключ KMS созданному сервисному аккаунту (kms.keys.encrypterDecrypter)
  • создать Object Storage Bucket
  • назначить права на Object Storage bucket созданному сервисному аккаунту (storage.uploader, storage.viewer + BucketPolicy)
  • назначить на ВМ сервисную УЗ
  • установить aws cli (apt install awscli)
  • установить cryptsetup (apt install cryptsetup-bin)

Запуск решения

  • Скачайте файлы
  • Заполните файл variables.tf
  • Выполните команды terraform:
terraform init
terraform apply

Итоги развертывания

  • Проверить статус примонтированных объектов:
lsblk

Статус

  • Проверить статус шифрования диска:
cryptsetup status encrypted1

Статус

  • Проверить диск на другой ВМ: Создать snapshot диска:

Снапшот

  • Создать ВМ с диском из snapshot: Создание ВМ

  • Попробовать примонтировать диск:

sudo mount /dev/vdb /mnt

Результат теста

About

Шифрование диска виртуальной машины с помощью Key Management Service (KMS).

Topics

encryption kms terraform disk-encryption yandex-cloud yandexcloud

Resources

Readme

License

Apache-2.0 license
Activity
Custom properties

Stars

0 stars

Watchers

4 watching

Forks

0 forks
Report repository

Releases

No releases published

Packages

No packages published

Contributors 2

  •  
  •  

Languages