SecureCloudを利用する上で、ユーザー登録(試用ライセンス利用)してコンソールにアクセスできるところまで、
「EBS暗号化ツールSecureCloudを使ってみる(登録編)」の記事で紹介しました。
今回は、実際に下記のようなEBSを用意してCentOS6で暗号化ディスクとしてマウントしてみます。
○SecureCloud Agentのダウンロードとインストール
下記(Trend Micro Download Center)よりダウンロードできます。
次のように適当なCentOS6(EC2)上でダウンロードしてインストールします。
# curl -OL http://www.trendmicro.com/ftp/products/securecloud/scagent-3.0.0.1083-1.cel6.x86_64.bin
# chmod 755 scagent-3.0.0.1083-1.cel6.x86_64.bin
# ./scagent-3.0.0.1083-1.cel6.x86_64.bin
...
Please run the configuration utility:
/var/lib/securecloud/scconfig.sh
○SecureCloud Agentの設定(ディスクの暗号化も)
上記の用に/var/lib/securecloud/scconfig.shを実行して設定しますが、下記のAccount IDと
Provision passphraseが必要となるので事前に確認しておきます。
実際に/var/lib/securecloud/scconfig.shを実行します。
# /var/lib/securecloud/scconfig.sh
...
Do you accept the license agreement (yes/no)? yes
Launch SecureCloud Configuration Tool (Basic Mode)
Select Cloud Service Provider (CSP) plugin
1: Amazon-AWS
2: CloudStack
3: vCloud
4: Native
Enter CSP number to activate a plugin, L to load a new plugin, D to
delete a plugin, Q to exit, or ? for more information: 1
Please enter Access Key ID: AAAAAAAA
Please enter Secret Access Key: SSSSSSSS
SecureCloud Management Server Account ID: IIIIIIII
SecureCloud Management Server Web Service URL
[leave blank to use SaaS URL https://ms.securecloud.com/ ]:
Checking SecureCloud Management Server public key...
You have chosen to use a SaaS SecureCloud Management Server.
Retrieving Management Server certificates...
SecureCloud Management Server Provision Passphrase: ************
Inventory uploaded.
Running provisioning utility (Use Ctrl+C to skip waiting).....
※SecureCloud Management Server Web Service URLが環境(SaaSではない環境等)によって変更する必要が
あるかもしれません。
ここで設定スクリプトが待ちの状態になるのですが、対象のEBSを暗号化する準備が
コンソール側で整うのを待っています。
そこで、この間に下記のようなコンソールの作業を行います。
ポイントはディスクへのアクセスタイプをRead/Writeにし、またマウントポイントを/mnt/testに
しているところになります。
こちらは後程ポリシーを作成する時に出て来るので注意しておいて下さい。
上記のようにコンソール側の準備が整うと、待ち状態だったスクリプトが進みます。
...
Inventory uploaded.
Provisioning device: vol-7f9a3f5d .........
Succeeded to provision device: vol-7f9a3f5d
Running provisioning utility (Use Ctrl+C to skip waiting)..^C
Exiting provisioning utility, post-configuring the agent.
Succeeded to receive mount device list#
暗号化が終了したとのことなので、再度コンソールでディスクの状態を確認すると、正しくEncryptedに
なっていることがわかります。
○ポリシーの作成
EC2が暗号化ディスクをマウントする為のポリシーを作成します。
この対象のEC2が、このポリシーを満たさない場合は、暗号化ディスクをマウントできません。
(ちなみにポリシーを満たさなくてもマウントする術はあるにはあります)
上記ポリシーが設定できた状態で、次のように、マウント先ディレクトリを作成し、SecureCloud Agentを
起動します。
# mkdir /mnt/test
# /etc/init.d/scagentd start
Start: starting service /var/lib/securecloud/scagent
Service started. PID:4054
○確認
dfコマンドで無事マウントできていることが確認できます。
# df -k
Filesystem 1K-ブロック 使用 使用可 使用% マウント位置
/dev/xvde1 6192704 2428328 3449804 42% /
none 302456 0 302456 0% /dev/shm
/dev/ed1 1032056 17688 961944 2% /mnt/test
コンソールでもポリシーがパスし、キーが配信されていることが確認できます。
ちなみにログは下記にあるので、うまくいかない場合は確認してみて下さい。
# ls -1 /var/lib/securecloud/logfiles/
agent.log
scagent.out
scconfig.log
security.log
utilities.log
