Инструкция по настройке BYOK с KMS Cloud.ru

1. Откройте консоль Yandex KMS

2. Перейдите в раздел Identity and Access Management и нажмите на кнопку «Создать сервисный аккаунт»

3. Далее необходимо дать сервисному аккаунту имя и назначить роль kms.keys.encrypterDecrypter

4. Перейдите в редактирование созданного сервисного аккаунта и нажмите «Создать новый ключ». Выберите «Создать авторизованный ключ» с алгоритмом шифрования RSA-2048

5. Далее скачайте файл с ключами

6. Данные из скачанного файла вставьте с Пачку. Это ваш JSON-ключ для авторизации в системе шифрования

{
  "id": "ajeobp8qi8slm13qe4fv",
  "service_account_id": "...",
  "created_at": "...",
  "key_algorithm": "RSA_2048",
  "public_key": "-----BEGIN PUBLIC KEY-----\nMIIB...",
  "private_key": "-----BEGIN PRIVATE KEY-----\nMIIEvgIBADANBgkqhki..."
}

7. Перейдите в Key Management System в «Симметричные ключи» и нажмите «Создать ключ»

8. Выберите алгоритм шифрования AES-128 и не указывайте период ротации

9. В правах доступа на ключ укажите сервисный аккаунт с ролью kms.keys.encrypterDecrypter

10. Скопируйте идентификатор созданного ключа и укажите его в Пачке в поле KMS Key ID

11. Нажмите «Включить шифрование»

Далее продвинутое шифрование данных будет включено в вашем пространстве в Пачке.