기본 키 액세스 근거 정책 설정

이 페이지에서는 Assured Workloads의 기본 키 액세스 근거 정책을 구성하는 방법을 보여줍니다. 조직, 폴더 또는 프로젝트의 기본 키 액세스 근거 정책을 설정할 수 있습니다. 키가 생성될 때 키에 키 액세스 근거 정책이 설정되지 않는 한 기본 키 액세스 근거 정책은 해당 리소스 내에서 생성된 새 키에 자동으로 적용됩니다. 기본 키 액세스 근거 정책은 기존 키에는 적용되지 않습니다.

시작하기 전에

  • Cloud KMS 키의 기본 키 액세스 근거 정책을 설정하는 기능은 Assured Workloads의 일본 리전 제어 패키지에서만 사용 가능합니다.

필수 IAM 권한

기본 키 액세스 근거 정책을 만들고 관리하는 데 필요한 권한을 얻으려면 관리자에게 키가 포함된 조직, 폴더 또는 프로젝트에 대한 키 액세스 근거 정책 구성 관리자 (roles/cloudkms.keyAccessJustificationsPolicyConfigAdmin) IAM 역할을 부여해 달라고 요청하세요. 역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

이 사전 정의된 역할에는 기본 키 액세스 근거 정책을 만들고 관리하는 데 필요한 권한이 포함되어 있습니다. 필요한 정확한 권한을 보려면 필수 권한 섹션을 펼치세요.

필수 권한

기본 키 액세스 근거 정책을 만들고 관리하려면 다음 권한이 필요합니다.

  • cloudkms.keyAccessJustificationsConfig.getKeyAccessJustificationsPolicyConfig
  • cloudkms.keyAccessJustificationsConfig.updateKeyAccessJustificationsPolicyConfig
  • cloudkms.keyAccessJustificationsConfig.showEffectiveKeyAccessJustificationsPolicyConfig

커스텀 역할이나 다른 사전 정의된 역할을 사용하여 이 권한을 부여받을 수도 있습니다.

기본 키 액세스 근거 정책 설정

REST

`organizations.updateKeyAccessJustificationsPolicyConfig` 메서드를 사용하여 조직의 기본 키 액세스 근거 정책을 만들거나 업데이트합니다.

curl "https://cloudkms.googleapis.com/v1/organizations/ORGANIZATION_ID/kajPolicyConfig?updateMask=defaultKeyAccessJustificationPolicy" \
  --request "PATCH" \
  --header "authorization: Bearer TOKEN" \
  --header "content-type: application/json" \
  --data '{"name": "organizations/ORGANIZATION_ID/kajPolicyConfig", "defaultKeyAccessJustificationPolicy": POLICY}'

다음을 바꿉니다.

  • ORGANIZATION_ID: 기본 키 액세스 근거 정책을 설정하려는 조직의 ID입니다.
  • POLICY: 허용된 allowedAccessReasons를 나열하는 키 액세스 근거 정책으로, JSON 객체로 형식이 지정됩니다(예: {"allowedAccessReasons": ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]}). 가능한 근거 이유 목록은 근거 코드를 참조하세요.

folders.updateKeyAccessJustificationsPolicyConfig 메서드를 사용하여 폴더의 기본 키 액세스 근거 정책을 만들거나 업데이트합니다.

curl "https://cloudkms.googleapis.com/v1/folders/FOLDER_ID/kajPolicyConfig?updateMask=defaultKeyAccessJustificationPolicy" \
  --request "PATCH" \
  --header "authorization: Bearer TOKEN" \
  --header "content-type: application/json" \
  --data '{"name": "folders/FOLDER_ID/kajPolicyConfig", "defaultKeyAccessJustificationPolicy": POLICY}'

다음을 바꿉니다.

  • FOLDER_ID: 기본 키 액세스 근거 정책을 설정하려는 폴더의 ID입니다.
  • POLICY: 허용된 allowedAccessReasons를 나열하는 키 액세스 근거 정책으로, JSON 객체로 형식이 지정됩니다(예: {"allowedAccessReasons": ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]}). 가능한 근거 이유 목록은 근거 코드를 참조하세요.

projects.updateKeyAccessJustificationsPolicyConfig 메서드를 사용하여 프로젝트의 기본 키 액세스 근거 정책을 만들거나 업데이트합니다.

curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/kajPolicyConfig?updateMask=defaultKeyAccessJustificationPolicy" \
  --request "PATCH" \
  --header "authorization: Bearer TOKEN" \
  --header "content-type: application/json" \
  --data '{"name": "projects/PROJECT_ID/kajPolicyConfig", "defaultKeyAccessJustificationPolicy": POLICY}'

다음을 바꿉니다.

  • PROJECT_ID: 기본 키 액세스 근거 정책을 설정하려는 프로젝트의 ID입니다.
  • POLICY: 허용된 allowedAccessReasons를 나열하는 키 액세스 근거 정책으로, JSON 객체로 형식이 지정됩니다(예: {"allowedAccessReasons": ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]}). 가능한 근거 이유 목록은 근거 코드를 참조하세요.

기본 키 액세스 근거 정책 가져오기

REST

`organizations.getKajPolicyConfig` 메서드를 사용하여 조직의 기존 기본 키 액세스 근거 정책에 대한 메타데이터를 가져옵니다.organizations.getKajPolicyConfig

curl "https://cloudkms.googleapis.com/v1/organizations/ORGANIZATION_ID/kajPolicyConfig"

ORGANIZATION_ID를 기본 키 액세스 근거 정책을 가져오려는 조직의 ID로 바꿉니다.

응답은 다음 예시와 유사합니다.

{
  "name" : "organizations/ORGANIZATION_ID/kajPolicyConfig"
  "defaultKeyAccessJustificationPolicy": {
    "allowedAccessReasons": [
      "CUSTOMER_INITIATED_ACCESS",
      "GOOGLE_INITIATED_SYSTEM_OPERATION"
    ]
  }
}

`folders.getKajPolicyConfig` 메서드를 사용하여 폴더의 기존 기본 키 액세스 근거 정책에 대한 메타데이터를 가져옵니다.

curl "https://cloudkms.googleapis.com/v1/folders/FOLDER_ID/kajPolicyConfig"

FOLDER_ID를 기본 키 액세스 근거 정책을 가져오려는 폴더의 ID로 바꿉니다.

응답은 다음 예시와 유사합니다.

{
  "name" : "folders/FOLDER_ID/kajPolicyConfig"
  "defaultKeyAccessJustificationPolicy": {
    "allowedAccessReasons": [
      "CUSTOMER_INITIATED_ACCESS",
      "GOOGLE_INITIATED_SYSTEM_OPERATION"
    ]
  }
}

`projects.getKajPolicyConfig` 메서드를 사용하여 프로젝트의 기존 기본 키 액세스 근거 정책에 대한 메타데이터를 가져옵니다.

curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/kajPolicyConfig"

PROJECT_ID를 기본 키 액세스 근거 정책을 가져오려는 프로젝트의 ID로 바꿉니다.

응답은 다음 예시와 유사합니다.

{
  "name" : "project/PROJECT_ID/kajPolicyConfig"
  "defaultKeyAccessJustificationPolicy": {
    "allowedAccessReasons": [
      "CUSTOMER_INITIATED_ACCESS",
      "GOOGLE_INITIATED_SYSTEM_OPERATION"
    ]
  }
}

프로젝트의 유효한 기본 키 액세스 근거 정책 가져오기

프로젝트는 가장 가까운 상위 항목에서 기본 정책을 상속합니다. 단일 프로젝트의 상위 항목에 여러 기본 정책이 설정되어 있는 경우 프로젝트에 적용되는 정책을 확인하기 위해 프로젝트의 유효한 정책을 가져올 수 있습니다. 이렇게 하면 해당 프로젝트에서 생성된 새 Cloud KMS 키에 적용되는 정책을 확인할 수 있습니다.

REST

`projects.showEffectiveKeyAccessJustificationsPolicyConfig` 메서드를 사용하여 프로젝트의 유효한 기본 키 액세스 근거 정책에 대한 메타데이터를 가져옵니다.

curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID:showEffectiveKeyAccessJustificationsPolicyConfig"

PROJECT_ID를 유효한 기본 키 액세스 근거 정책을 가져오려는 프로젝트의 ID로 바꿉니다.

응답은 다음 예시와 유사합니다.

{
  "effectiveKajPolicy" : {
    "name" : "folders/FOLDER_ID/kajPolicyConfig"
    "defaultKeyAccessJustificationPolicy": {
      "allowedAccessReasons": [
        "CUSTOMER_INITIATED_ACCESS",
        "GOOGLE_INITIATED_SYSTEM_OPERATION"
      ]
    }
  }
}

다음 단계

달리 명시되지 않는 한 이 페이지의 콘텐츠에는 Creative Commons Attribution 4.0 라이선스에 따라 라이선스가 부여되며, 코드 샘플에는 Apache 2.0 라이선스에 따라 라이선스가 부여됩니다. 자세한 내용은 Google Developers 사이트 정책을 참조하세요. 자바는 Oracle 및/또는 Oracle 계열사의 등록 상표입니다.

최종 업데이트: 2026-05-21(UTC)