설정 저장소
설정 저장소는 기기 간 CLI 설정의 영지식 암호화 동기화를 제공합니다. 설정은 패스키에서 파생된 키로 암호화되므로 서버는 평문 데이터를 절대 볼 수 없습니다.
사전 요건
- 계정에서 2단계 인증 활성화
- PRF 지원 패스키 제공자: FIDO2 보안 키(예: YubiKey), iCloud Keychain, Google 비밀번호 관리자, 1Password, 또는 Dashlane
- 브라우저: Chrome 133+, Edge 133+, Firefox 130+, 또는 Safari 17+
설정 방법
- 사이드바에서 설정 저장소로 이동한 후 설정 저장소 설정을 클릭하세요.
- 요건 체크리스트가 브라우저, 2FA, 세션 상태를 확인합니다.
- 설정 시작을 클릭하면 보안 키를 두 번 터치해야 합니다.
- 첫 번째 터치: 패스키 등록
- 두 번째 터치: PRF를 통한 암호화 키 파생
- 설정 완료, 패스키 시크릿이 OS 키링에 저장됩니다.
설정 후 일상적인 CLI 작업(push/pull)은 패스키 없이 작동합니다.
PRF 제공자 호환성
| 제공자 | PRF 지원 | 플랫폼 |
|---|---|---|
| YubiKey / FIDO2 보안 키 | ✅ | Windows 11, macOS, Linux |
| iCloud Keychain | ✅ | macOS 15+, iOS 18+ |
| Google 비밀번호 관리자 | ✅ | Android |
| 1Password | ✅ | Android, iOS |
| Dashlane | ✅ | 크로스 플랫폼 |
| Bitwarden 확장 | ❌ | 개발 중 |
| Windows Hello | ❌ | 미지원 |
구성원 관리
설정 저장소는 조직 단위로 범위가 지정됩니다. 구성원은 웹 포털을 통해 관리됩니다.
- 구성원 보기: 설정 저장소 → 구성원
- 구성원 추가: 현재 CLI를 통해서만 가능 (웹 UI 계획 중)
- 구성원 제거: 구성원 페이지의 제거 버튼 클릭 (2FA + 재인증 필요)
마지막 활성 구성원을 제거하거나 자기 자신을 제거하는 것을 방지하는 안전 장치가 있습니다.
보안
- 영지식: 서버는 복호화할 수 없는 삼중 암호화 데이터를 저장합니다.
- 분할 키: 복호화는 패스키 시크릿(클라이언트)과 서버 시크릿(서버) 모두 필요합니다.
- 순환 토큰: 각 API 호출은 새 토큰을 사용합니다. 이전 토큰은 자동 파기됩니다.
- IP 바인딩: 토큰은 첫 사용 시 IP에 바인딩됩니다.
- 즉각적인 취소: 제거된 구성원은 30초 내에 접근 권한을 잃습니다.
문제 해결
| 오류 | 원인 | 해결 방법 |
|---|---|---|
| PRF 미지원 | 인증자에 PRF 확장 없음 | YubiKey, iCloud Keychain, 1Password, 또는 Dashlane 사용 |
| X25519 미지원 | 브라우저 버전이 너무 오래됨 | Chrome 133+, Edge 133+, Firefox 130+, 또는 Safari 17+로 업데이트 |
| 이미 설정됨 | 조직에 저장소 이미 존재 | /account/config-storage에서 관리 |
| 설정 저장소 미설정 | 서버에 블롭 스토리지 없음 | 관리자에게 R2/RustFS 설정 문의 |
| 토큰 만료 | 24시간 동안 활동 없음 | 설정 저장소 명령어를 실행하여 갱신 |
| 마지막 구성원 제거 불가 | 저장소가 영구적으로 잠길 수 있음 | 먼저 다른 구성원을 추가하세요 |