기본적으로 데이터 스튜디오는 저장 중인 고객 콘텐츠를 암호화합니다. 데이터 스튜디오는 사용자의 추가 작업 없이 암호화를 처리합니다. 이 옵션을 Google 기본 암호화 라고 합니다.
암호화 키를 제어하려면 데이터 스튜디오를 포함한 CMEK 통합 서비스와 함께 Cloud KMS에서 고객 관리 암호화 키 (CMEK)를 사용하면 됩니다. Cloud KMS 키를 사용하면 보호 수준, 위치, 순환 일정, 사용 및 액세스 권한, 암호화 경계 를 관리할 수 있습니다. Cloud KMS를 사용하면 감사 로그를 보고 키 수명 주기를 제어할 수도 있습니다. Google에서 데이터를 보호하는 대칭 키 암호화 키 (KEK)를 소유하고 관리하는 대신 사용자가 Cloud KMS에서 이러한 키를 제어하고 관리할 수 있습니다.
CMEK로 리소스를 설정한 후 데이터 스튜디오 리소스에 액세스하는 환경은 Google 기본 암호화를 사용하는 것과 유사합니다. 암호화 옵션에 대한 자세한 내용은 고객 관리 암호화 키 (CMEK)를 참조하세요.
CMEK를 사용하면 자체 암호화 키를 사용하여 저장 데이터 상태의 데이터 스튜디오 Pro 데이터를 암호화할 수 있습니다. CMEK를 사용하면 데이터를 추가로 제어하고 내부 또는 외부 규정 준수 규정을 충족할 수 있습니다.
CMEK 및 고객 관리 스토리지
CMEK를 사용 설정하면 데이터 스튜디오 Pro 프로젝트에 데이터를 저장하기 위해 Cloud Storage 및 BigQuery를 사용할 수 있는 데이터 스튜디오 Pro's 고객 관리 스토리지 옵션도 사용 설정해야 합니다. Google Cloud데이터 스튜디오 Pro는 Cloud Key Management Service 키를 사용하여 보고서 및 데이터 소스 구성, 예약된 이메일과 같은 리소스를 보호합니다. your Google Cloud project에 저장된 데이터 추출 및 파일 업로드의 경우 스토리지 리소스에 CMEK를 적용하여 데이터를 보호할 수 있습니다. Google Cloud
시작하기 전에
CMEK를 사용 설정하고 사용하려면 다음과 같은 사전 요구사항을 충족해야 합니다.
- CMEK는 새 데이터 스튜디오 Pro 구독을 만들 때만 사용 설정할 수 있습니다.
- CMEK를 사용 설정하려면 고객 관리 스토리지도 사용 설정하고 구성해야 합니다. 고객 관리 스토리지의 경우 데이터 스튜디오 Pro에서 데이터 추출 및 파일 업로드를 저장하는 데 사용할 수 있도록 your Google Cloud project 내에 Cloud Storage 버킷과 BigQuery 데이터 세트를 제공해야 합니다. 이러한 리소스 내에 저장된 데이터를 보호하려면 CMEK 구성을 적용하면 됩니다.
- CMEK를 사용 설정하려면 데이터 위치도 사용 설정하고 구성해야 합니다.
- CMEK에 사용할 Cloud KMS에 대칭 암호화 키가 있어야 합니다. 이 키는 데이터 위치에 선택한 리전과 동일한 리전에 있어야 합니다.
- Cloud KMS에서 키를 만들려면 필요한 IAM 역할이 있어야 합니다. 자세한 내용은 필수 역할을 참조하세요.
구독에 CMEK 사용 설정
CMEK는 새 데이터 스튜디오 Pro 구독을 만들 때만 사용 설정할 수 있습니다. 기존 Pro 구독에는 CMEK를 사용 설정할 수 없습니다.
CMEK를 사용 설정하려면 새 데이터 스튜디오 Pro 구독을 만들 때 다음 단계를 따르세요.
- 메시지가 표시되면 고객 관리 암호화 키 사용 을 선택합니다.
- 키 리소스 이름 필드에 키 리소스 이름을 입력하거나 붙여넣습니다.
- Cloud KMS에서 사용자 인터페이스에 표시된 데이터 스튜디오 Pro 서비스 계정에 Cloud KMS CryptoKey 암호화/복호화 역할을 부여합니다.
- 다음 을 클릭하여 구독 설정을 계속합니다.
CMEK로 암호화되는 항목
데이터 스튜디오 Pro 구독에 CMEK를 사용 설정하면 고객 콘텐츠 암호화가 두 가지 방법으로 처리됩니다.
- Cloud KMS 키를 사용하여 데이터 스튜디오 Pro에서 암호화하는 데이터: 데이터 스튜디오 Pro는 지정된 키를 사용하여 보고서 및 데이터 소스 구성, 예약된 이메일과 같은 데이터를 암호화합니다.
- 프로젝트에 저장된 데이터: CMEK를 사용 설정하려면
고객 관리 스토리지를 사용해야 합니다. Google Cloud 다음 데이터 유형은 제공하는 Cloud Storage 및 BigQuery 리소스에 저장됩니다.
- 데이터 추출
- CSV 및 Excel 파일 업로드 이러한 리소스는 Cloud Storage 및 BigQuery에서 적용하는 CMEK 구성을 사용하여 암호화됩니다. 구독에 CMEK를 사용 설정해도 데이터 스튜디오 Pro는 이러한 리소스에 CMEK를 자동으로 적용하지 않습니다.
키 관리
보안 또는 규정 준수 관리자는 Cloud KMS를 사용하여 키 관리 작업을 수행할 수 있습니다. 데이터 스튜디오 Pro는 모든 암호화 및 복호화 작업에 Cloud KMS를 호출합니다.
다음 키 관리 작업을 수행할 수 있습니다.
- 키 해지: 데이터 스튜디오 Pro의 키 액세스 권한을 해지하여 데이터를 즉시 사용할 수 없도록 만들 수 있습니다.
- 감사: Cloud KMS에서 키 액세스 로그를 검사하여 키가 데이터를 암호화하거나 복호화하는 데 사용된 모든 작업을 감사할 수 있습니다.
키 순환
키를 순환하면 Cloud KMS는 새 애셋을 암호화하는 데 사용되는 새 버전의 키를 만듭니다. 기존 애셋은 다시 암호화되지 않으며 암호화된 키 버전으로 계속 보호됩니다. 데이터 스튜디오 Pro는 새 키 버전으로 기존 애셋을 다시 암호화하는 것을 지원하지 않습니다.
이전 키 버전으로 암호화된 기존 애셋에 액세스하려면 이전 키 버전이 계속 필요하므로 이러한 애셋에 대한 액세스를 영구적으로 삭제하려는 경우가 아니면 이전 키 버전을 삭제하거나 사용 중지해서는 안 됩니다. 데이터를 보호하는 키 버전을 삭제하거나 사용 중지하면 해당 데이터에 액세스할 수 없게 됩니다.
CMEK 키를 사용할 수 없게 되면(예: 키를 사용 중지하거나 삭제하는 경우) 데이터 스튜디오 Pro는 암호화된 데이터를 사용하는 보고서 또는 데이터 소스를 표시하는 대신 오류 메시지를 반환합니다. 메모리에 보관된 모든 데이터는 사용 중지된 키가 감지된 후 15분 이내에 삭제됩니다. 데이터 스튜디오 홈페이지에는 고객 콘텐츠가 포함되어 있지 않으므로 계속 액세스할 수 있습니다.
Cloud KMS 할당량 및 데이터 스튜디오
데이터 스튜디오에서 CMEK를 사용하는 경우 프로젝트에서 Cloud KMS 암호화 요청 할당량을 사용할 수 있습니다. 데이터 스튜디오 Pro가 키 중 하나를 사용하여 데이터를 암호화하거나 복호화할 때마다 해당 작업은 프로젝트의 할당량에 집계됩니다.
CMEK 키를 사용한 암호화 및 복호화 작업은 다음과 같은 방식으로 Cloud KMS 할당량에 영향을 미칩니다.
- Cloud KMS에서 생성된 소프트웨어 CMEK 키의 경우 Cloud KMS 할당량이 사용되지 않습니다.
- 하드웨어 CMEK 키(Cloud HSM 키라고도 함)의 경우 키가 포함된 프로젝트의 Cloud HSM 할당량에 암호화 및 복호화 작업이 집계됩니다.
- 외부 CMEK 키(Cloud EKM 키라고도 함)의 경우 키가 포함된 프로젝트의 Cloud EKM 할당량에 암호화 및 복호화 작업이 집계됩니다.
자세한 내용은 Cloud KMS 할당량을 참조하세요.
CMEK의 제한사항
CMEK에는 다음과 같은 제한사항이 있습니다.
- CMEK는 새 데이터 스튜디오 Pro 구독을 만들 때만 사용 설정할 수 있습니다. 기존 구독에는 CMEK를 사용 설정하거나 사용 중지할 수 없습니다.
- CMEK가 사용 설정된 프로젝트의 콘텐츠는 활성 데이터 스튜디오 Pro 구독이 있는 다른 프로젝트로만 이동할 수 있습니다.
- 데이터 스튜디오 Pro에서 데이터 스튜디오의 무료 버전으로 다운그레이드하거나 구독이 취소된 경우 CMEK 기능은 30일의 유예 기간 동안 계속 작동합니다. 그 후 CMEK를 사용하여 만든 데이터 소스가 삭제됩니다.
- 데이터 스튜디오 Pro에서 데이터 스튜디오의 무료 버전으로 다운그레이드하거나 구독이 취소된 경우 동일한 Google Cloud project를 다시 사용하여 새 데이터 스튜디오 Pro 구독을 만들려면 30 일을 기다려야 합니다.