기본 키 액세스 근거 정책 설정

이 페이지에서는 Assured Workloads의 기본 키 액세스 근거 정책을 구성하는 방법을 보여줍니다. 조직, 폴더 또는 프로젝트의 기본 키 액세스 근거 정책을 설정할 수 있습니다. 키가 생성될 때 키에 키 액세스 근거 정책이 설정되지 않는 한 기본 키 액세스 근거 정책은 해당 리소스 내에서 생성된 새 키에 자동으로 적용됩니다. 기본 키 액세스 근거 정책은 기존 키에는 적용되지 않습니다.

시작하기 전에

  • Assured Workloads의 일본 리전 제어 패키지에 등록된 폴더의 Cloud KMS 키에 대해서만 기본 키 액세스 근거 정책을 설정할 수 있습니다.

필수 IAM 권한

기본 키 액세스 근거 정책을 만들고 관리하는 데 필요한 권한을 얻으려면 관리자에게 키가 포함된 조직, 폴더 또는 프로젝트에 대한 키 액세스 근거 정책 구성 관리자 (roles/cloudkms.keyAccessJustificationsPolicyConfigAdmin) IAM 역할을 부여해 달라고 요청하세요. 역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

이 사전 정의된 역할에는 기본 키 액세스 근거 정책을 만들고 관리하는 데 필요한 권한이 포함되어 있습니다. 필요한 정확한 권한을 보려면 필수 권한 섹션을 펼치세요.

필수 권한

기본 키 액세스 근거 정책을 만들고 관리하려면 다음 권한이 필요합니다.

  • cloudkms.keyAccessJustificationsConfig.getKeyAccessJustificationsPolicyConfig
  • cloudkms.keyAccessJustificationsConfig.updateKeyAccessJustificationsPolicyConfig
  • cloudkms.keyAccessJustificationsConfig.showEffectiveKeyAccessJustificationsPolicyConfig

커스텀 역할이나 다른 사전 정의된 역할을 사용하여 이 권한을 부여받을 수도 있습니다.

기본 키 액세스 근거 정책 설정 또는 변경

콘솔

  1. 콘솔에서 키 관리 페이지로 이동합니다. Google Cloud

    키 관리로 이동

  2. KMS 제어 를 클릭한 후 키 액세스 근거 (KAJ) 를 클릭합니다.

  3. 수정 을 클릭합니다.

  4. 키 액세스 근거 정책 설정을 선택한 후 특정 이유 코드 허용을 선택합니다.

  5. 근거 이유에서 고객이 시작한 액세스, Google이 시작한 시스템 작업 및 허용하려는 기타 이유 코드를 선택합니다. 고객이 시작한 액세스Google이 시작한 시스템 작업 은 모두 정상적인 작동에 필수적입니다.

  6. 만들기 를 클릭합니다.

gcloud

조직에 기본 정책 설정

--organization 플래그와 함께 kms kaj-config update 명령어를 사용하여 폴더에 기본 키 액세스 근거 정책을 만들거나 업데이트합니다.

gcloud beta kms kaj-config update
    --organization=ORGANIZATION_NUMBER
    --allowed-access-reasons="ALLOWED_ACCESS_REASONS"

다음을 바꿉니다.

  • ORGANIZATION_NUMBER: 기본 키 액세스 근거 정책을 설정하려는 조직의 번호입니다.
  • ALLOWED_ACCESS_REASONS: 허용된 액세스 이유를 나열하는 키 액세스 근거 정책으로, 쉼표로 구분된 목록 형식입니다(예: CUSTOMER_INITIATED_ACCESS,GOOGLE_INITIATED_SYSTEM_OPERATION). 가능한 근거 이유 목록은 근거 코드를 참조하세요.

폴더에 기본 정책 설정

--folder 플래그와 함께 kms kaj-config update 명령어를 사용하여 폴더에 기본 키 액세스 근거 정책을 만들거나 업데이트합니다.

gcloud beta kms kaj-config update
    --folder=FOLDER_ID
    --allowed-access-reasons="ALLOWED_ACCESS_REASONS"

다음을 바꿉니다.

  • FOLDER_ID: 기본 키 액세스 근거 정책을 설정하려는 폴더의 ID입니다.
  • ALLOWED_ACCESS_REASONS: 허용된 액세스 이유를 나열하는 키 액세스 근거 정책으로, 쉼표로 구분된 목록 형식입니다(예: CUSTOMER_INITIATED_ACCESS,GOOGLE_INITIATED_SYSTEM_OPERATION). 가능한 근거 이유 목록은 근거 코드를 참조하세요.

프로젝트에 기본 정책 설정

--project 플래그와 함께 kms kaj-config update 명령어를 사용하여 프로젝트에 기본 키 액세스 근거 정책을 만들거나 업데이트합니다.

gcloud beta kms kaj-config update
    --project=PROJECT_ID
    --allowed-access-reasons="ALLOWED_ACCESS_REASONS"

다음을 바꿉니다.

  • PROJECT_ID: 기본 키 액세스 근거 정책을 설정하려는 프로젝트의 ID입니다.
  • ALLOWED_ACCESS_REASONS: 허용된 액세스 이유를 나열하는 키 액세스 근거 정책으로, 쉼표로 구분된 목록 형식입니다(예: CUSTOMER_INITIATED_ACCESS,GOOGLE_INITIATED_SYSTEM_OPERATION). 가능한 근거 이유 목록은 근거 코드를 참조하세요.

REST

조직에 기본 정책 설정

`organizations.updateKeyAccessJustificationsPolicyConfig` 메서드를 사용하여 조직에 기본 키 액세스 근거 정책을 만들거나 업데이트합니다.

curl "https://cloudkms.googleapis.com/v1/organizations/ORGANIZATION_ID/kajPolicyConfig?updateMask=defaultKeyAccessJustificationPolicy" \
  --request "PATCH" \
  --header "authorization: Bearer TOKEN" \
  --header "content-type: application/json" \
  --data '{"name": "organizations/ORGANIZATION_ID/kajPolicyConfig", "defaultKeyAccessJustificationPolicy": POLICY}'

다음을 바꿉니다.

  • ORGANIZATION_ID: 기본 키 액세스 근거 정책을 설정하려는 조직의 ID입니다.
  • POLICY: 허용된 allowedAccessReasons를 나열하는 키 액세스 근거 정책으로, JSON 객체 형식입니다(예: {"allowedAccessReasons": ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]}). 가능한 근거 이유 목록은 근거 코드를 참조하세요.

폴더에 기본 정책 설정

folders.updateKeyAccessJustificationsPolicyConfig 메서드를 사용하여 폴더에 기본 키 액세스 근거 정책을 만들거나 업데이트합니다.

curl "https://cloudkms.googleapis.com/v1/folders/FOLDER_ID/kajPolicyConfig?updateMask=defaultKeyAccessJustificationPolicy" \
  --request "PATCH" \
  --header "authorization: Bearer TOKEN" \
  --header "content-type: application/json" \
  --data '{"name": "folders/FOLDER_ID/kajPolicyConfig", "defaultKeyAccessJustificationPolicy": POLICY}'

다음을 바꿉니다.

  • FOLDER_ID: 기본 키 액세스 근거 정책을 설정하려는 폴더의 ID입니다.
  • POLICY: 허용된 allowedAccessReasons를 나열하는 키 액세스 근거 정책으로, JSON 객체 형식입니다(예: {"allowedAccessReasons": ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]}). 가능한 근거 이유 목록은 근거 코드를 참조하세요.

프로젝트에 기본 정책 설정

projects.updateKeyAccessJustificationsPolicyConfig 메서드를 사용하여 프로젝트에 기본 키 액세스 근거 정책을 만들거나 업데이트합니다.

curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/kajPolicyConfig?updateMask=defaultKeyAccessJustificationPolicy" \
  --request "PATCH" \
  --header "authorization: Bearer TOKEN" \
  --header "content-type: application/json" \
  --data '{"name": "projects/PROJECT_ID/kajPolicyConfig", "defaultKeyAccessJustificationPolicy": POLICY}'

다음을 바꿉니다.

  • PROJECT_ID: 기본 키 액세스 근거 정책을 설정하려는 프로젝트의 ID입니다.
  • POLICY: 허용된 allowedAccessReasons를 나열하는 키 액세스 근거 정책으로, JSON 객체 형식입니다(예: {"allowedAccessReasons": ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]}). 가능한 근거 이유 목록은 근거 코드를 참조하세요.

기본 키 액세스 근거 정책 보기

콘솔

  1. 콘솔에서 키 관리 페이지로 이동합니다. Google Cloud

    키 관리로 이동

  2. KMS 제어 를 클릭한 후 키 액세스 근거(KAJ) 를 클릭합니다. 선택한 조직, 폴더 또는 프로젝트의 기본 정책이 표시됩니다.

gcloud

조직의 기본 정책 보기

조직에 설정된 기본 정책을 보려면 kms kaj-config describe 명령어를 --organization 플래그와 함께 실행합니다.

gcloud beta kms kaj-config describe --organization=ORGANIZATION_NUMBER

ORGANIZATION_NUMBER를 조직의 번호로 바꿉니다.

응답은 다음 예시와 유사합니다.

defaultKeyAccessJustificationPolicy:
  defaultPolicyAvailable: true
  allowedAccessReasons:
  - CUSTOMER_INITIATED_ACCESS
  - GOOGLE_INITIATED_SYSTEM_OPERATION
name: organizations/ORGANIZATION_NUMBER/kajPolicyConfig

폴더의 기본 정책 보기

폴더에 설정된 기본 정책을 보려면 --folder 플래그와 함께 kms kaj-config describe 명령어를 실행합니다.

gcloud beta kms kaj-config describe --folder=FOLDER_ID

FOLDER_ID를 폴더의 ID로 바꿉니다.

응답은 다음 예시와 유사합니다.

defaultKeyAccessJustificationPolicy:
  defaultPolicyAvailable: true
  allowedAccessReasons:
  - CUSTOMER_INITIATED_ACCESS
  - GOOGLE_INITIATED_SYSTEM_OPERATION
name: folders/FOLDER_ID/kajPolicyConfig

프로젝트의 기본 정책 보기

프로젝트에 설정된 기본 정책을 보려면 kms kaj-config describe 명령어와 함께 --project 플래그를 실행합니다.

gcloud beta kms kaj-config describe --project=PROJECT_ID

PROJECT_ID를 프로젝트의 ID로 바꿉니다.

응답은 다음 예시와 유사합니다.

defaultKeyAccessJustificationPolicy:
  defaultPolicyAvailable: true
  allowedAccessReasons:
  - CUSTOMER_INITIATED_ACCESS
  - GOOGLE_INITIATED_SYSTEM_OPERATION
name: projects/PROJECT_ID/kajPolicyConfig

이 명령어는 프로젝트에 기본 정책이 있는 경우 해당 정책을 반환합니다. 프로젝트에 기본 정책이 설정되어 있지 않으면 프로젝트가 상위 폴더 또는 조직에서 기본 정책을 상속하더라도 이 명령어는 정책을 반환하지 않습니다. 프로젝트의 유효한 기본 정책을 보려면 이 페이지에서 프로젝트의 유효한 기본 키 액세스 근거 정책 보기를 참조하세요.

REST

`organizations.getKajPolicyConfig` 메서드를 사용하여 조직의 기존 기본 키 액세스 근거 정책에 대한 메타데이터를 가져옵니다.organizations.getKajPolicyConfig

curl "https://cloudkms.googleapis.com/v1/organizations/ORGANIZATION_ID/kajPolicyConfig"

ORGANIZATION_ID를 기본 키 액세스 근거 정책을 가져오려는 조직의 ID로 바꿉니다.

응답은 다음 예시와 유사합니다.

{
  "name" : "organizations/ORGANIZATION_ID/kajPolicyConfig"
  "defaultKeyAccessJustificationPolicy": {
    "defaultPolicyAvailable": true,
    "allowedAccessReasons": [
      "CUSTOMER_INITIATED_ACCESS",
      "GOOGLE_INITIATED_SYSTEM_OPERATION"
    ]
  }
}

`folders.getKajPolicyConfig` 메서드를 사용하여 폴더의 기존 기본 키 액세스 근거 정책에 대한 메타데이터를 가져옵니다.

curl "https://cloudkms.googleapis.com/v1/folders/FOLDER_ID/kajPolicyConfig"

FOLDER_ID를 기본 키 액세스 근거 정책을 가져오려는 폴더의 ID로 바꿉니다.

응답은 다음 예시와 유사합니다.

{
  "name" : "folders/FOLDER_ID/kajPolicyConfig"
  "defaultKeyAccessJustificationPolicy": {
    "defaultPolicyAvailable": true,
    "allowedAccessReasons": [
      "CUSTOMER_INITIATED_ACCESS",
      "GOOGLE_INITIATED_SYSTEM_OPERATION"
    ]
  }
}

`projects.getKajPolicyConfig` 메서드를 사용하여 프로젝트의 기존 기본 키 액세스 근거 정책에 대한 메타데이터를 가져옵니다.

curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/kajPolicyConfig"

PROJECT_ID를 기본 키 액세스 근거 정책을 가져오려는 프로젝트의 ID로 바꿉니다.

응답은 다음 예시와 유사합니다.

{
  "name" : "project/PROJECT_ID/kajPolicyConfig"
  "defaultKeyAccessJustificationPolicy": {
    "defaultPolicyAvailable": true,
    "allowedAccessReasons": [
      "CUSTOMER_INITIATED_ACCESS",
      "GOOGLE_INITIATED_SYSTEM_OPERATION"
    ]
  }
}

프로젝트의 유효한 기본 키 액세스 근거 정책 보기

프로젝트는 가장 가까운 상위 폴더 또는 조직에서 기본 정책을 상속합니다. 단일 프로젝트의 상위 항목에 여러 기본 정책이 설정되어 있는 경우 해당 프로젝트에 적용되는 정책을 확인하기 위해 프로젝트의 유효한 정책을 가져올 수 있습니다.

콘솔에서 프로젝트의 키를 만드는 동안 프로젝트의 유효한 기본 키 액세스 근거 정책이 표시됩니다. Google Cloud 키 를 만드는 동안 유효한 기본 정책을 상속할지 아니면 새 키와 정책을 만들지 선택합니다.

gcloud

프로젝트의 유효한 기본 키 액세스 근거 정책에 대한 메타데이터를 보려면 projects.showEffectiveKeyAccessJustificationsPolicyConfig 메서드를 호출합니다.

gcloud beta kms kaj-config show-effective-config --project=PROJECT_ID

PROJECT_ID를 유효한 기본 키 액세스 근거 정책을 가져오려는 프로젝트의 ID로 바꿉니다.

응답은 다음 예시와 유사합니다.

effectiveKajPolicy:
  defaultKeyAccessJustificationPolicy:
    defaultPolicyAvailable: true
    allowedAccessReasons:
    - CUSTOMER_INITIATED_ACCESS
    - GOOGLE_INITIATED_SYSTEM_OPERATION
  name: folders/FOLDER_ID/kajPolicyConfig

REST

프로젝트의 유효한 기본 키 액세스 근거 정책에 대한 메타데이터를 보려면 projects.showEffectiveKeyAccessJustificationsPolicyConfig 메서드를 호출합니다.

curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID:showEffectiveKeyAccessJustificationsPolicyConfig"

PROJECT_ID를 유효한 기본 키 액세스 근거 정책을 가져오려는 프로젝트의 ID로 바꿉니다.

응답은 다음 예시와 유사합니다.

{
  "effectiveKajPolicy" : {
    "name" : "folders/FOLDER_ID/kajPolicyConfig"
    "defaultKeyAccessJustificationPolicy": {
      "defaultPolicyAvailable": true,
      "allowedAccessReasons": [
        "CUSTOMER_INITIATED_ACCESS",
        "GOOGLE_INITIATED_SYSTEM_OPERATION"
      ]
    }
  }
}

다음 단계

달리 명시되지 않는 한 이 페이지의 콘텐츠에는 Creative Commons Attribution 4.0 라이선스에 따라 라이선스가 부여되며, 코드 샘플에는 Apache 2.0 라이선스에 따라 라이선스가 부여됩니다. 자세한 내용은 Google Developers 사이트 정책을 참조하세요. 자바는 Oracle 및/또는 Oracle 계열사의 등록 상표입니다.

최종 업데이트: 2026-05-30(UTC)