인증서 관리자 (2세대) 개요 대시보드를 사용하면 안전하고 건전한 인증서 환경을 유지할 수 있습니다. 대시보드를 사용하여 만료되는 인증서를 식별하고, 보안 상황을 감사하고, 발급 추세를 추적할 수 있습니다.
개요 대시보드에는 다음 모니터링 차트가 포함됩니다.
- 지난 7일 동안 발급된 인증서 수: 지난 7일 동안 발급된 인증서의 총수를 추적합니다.
- 인증 기관 유형별 인증서: 인증 기관 유형 (공개, 비공개 또는 알 수 없음)별로 인증서를 그룹화합니다.
- 위치별로 발급된 인증서: 배포 위치별로 지리적으로 인증서를 정렬합니다.
- 만료 예정 인증서: 7일 및 30일 이내에 만료되는 인증서를 표시합니다.
시작하기 전에
- Google Cloud 계정에 로그인합니다. Google Cloud를 처음 사용하는 경우 계정을 만들고 Google 제품의 실제 성능을 평가해 보세요. 신규 고객에게는 워크로드를 실행, 테스트, 배포하는 데 사용할 수 있는 $300의 무료 크레딧이 제공됩니다.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
Enable the Certificate Authority Service, Certificate Manager APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles.-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
Enable the Certificate Authority Service, Certificate Manager APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles.
필요한 역할
인증서를 모니터링하는 데 필요한 권한을 얻으려면 관리자에게 프로젝트에 대해 다음 IAM 역할을 부여해 달라고 요청하세요.
- 인증서 관리자 뷰어 (
roles/certificatemanager.viewer) - 모니터링 뷰어 (
roles/monitoring.viewer)
역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.
커스텀 역할이나 다른 사전 정의된 역할을 통해 필요한 권한을 얻을 수도 있습니다.
개요 대시보드에 액세스
대시보드에 액세스하고 인증서 측정항목을 보려면 다음 단계를 따르세요.
Google Cloud 콘솔에서 인증서 관리자 페이지로 이동합니다.
선택사항: 기간을 조정하려면 대시보드 오른쪽 상단에 있는 시간 선택기를 사용합니다. 기본적으로 대시보드에는 지난 7일 동안의 측정항목이 표시됩니다.
대시보드 데이터는 24시간마다 업데이트됩니다.
인증서 상태 및 만료 모니터링
대시보드에서는 수명이 72시간을 초과하는 인증서인 장기 인증서에 중점을 둔 측정항목을 제공합니다.
인증서 관리자(2세대)는 수명이 72시간 미만인 단기 인증서를 제외합니다. 이러한 인증서는 자동 로테이션이 자주 발생하며 장기 인증서와 동일한 수동 모니터링이 필요하지 않기 때문입니다.
만료되는 인증서 중 수동 개입이 필요한 인증서를 모니터링하려면 다음 단계를 따르세요.
- 대시보드에서 만료 예정 인증서 차트를 찾습니다.
- 만료가 임박한 인증서에 대한 경고를 검토합니다.
- 만료 경고가 표시되면 인증서 ID를 사용하여 인벤토리를 검색하여 교체가 이미 진행되었는지 확인합니다. 자세한 내용은 인증서 인벤토리 필터링을 참고하세요.
인증서 인벤토리 감사
대시보드의 인벤토리 측정항목 섹션을 사용하여 선택한 기간 동안 환경의 활성 인증서를 감사합니다.
인벤토리를 감사하려면 다음 기준에 따라 분류된 인증서를 검토하세요.
- 리소스별 활성 인증서 보기: 인증서를 발급한 Google Cloud 리소스를 기준으로 인증서 볼륨을 추적합니다. 인증서 관리자 (2세대)는 관리형 워크로드 아이덴티티 또는 부하 분산에서 발급한 인증서를 식별합니다. Certificate Authority Service를 통해 발급된 다른 인증서는 지정되지 않음으로 분류됩니다. 자세한 내용은 지원되는 서비스를 참고하세요.
- 키 알고리즘별 활성 인증서 보기: 리프 키 알고리즘 (예: RSA 또는 ECDSA)별로 인증서를 그룹화하여 암호화 표준을 감사합니다. 이렇게 하면 조직의 보안 정책을 준수할 수 있습니다.
- 키 사용 프로필별 활성 인증서 보기: 의도된 용도별로 인증서를 그룹화합니다. 인증서 관리자는 가장 일치하는 프로필을 기준으로 인증서에 라벨을 지정합니다. 프로필을 확인할 수 없는 경우 기타로 표시됩니다.
이러한 카테고리의 특정 인증서를 보려면 인증서 보기를 클릭하여 인벤토리 페이지를 엽니다.
인증서 발급 추세 추적
발급 측정항목 차트를 사용하여 구성된 서비스가 시간이 지남에 따라 인증서를 생성하는 방식을 모니터링합니다. 이 접근 방식을 사용하면 성장을 추적하고 잠재적인 발급 이상을 식별할 수 있습니다.
발급 추세를 추적하려면 다음 측정항목을 모니터링하세요.
- 위치별 발급된 인증서: 각 위치에서 발급된 인증서 수를 확인하여 인증서 볼륨의 지리적 분포를 파악합니다.
- 기관 유형별로 발급된 인증서: Public Certificate Authority와 같은 공공 CA에서 발급한 인증서 수와 CA 서비스와 같은 민간 CA에서 발급한 인증서 수를 관찰합니다.
- 발급된 총 인증서 수: 선택한 기간에 발급된 총 인증서 수를 모니터링하여 환경의 규모를 파악합니다.