이 페이지는 Cloud Translation API를 통해 번역되었습니다.

키 관리 시스템

키 관리 시스템 (KMS) 서비스는 암호화 키를 중앙에서 관리하며 관리 API 서버에서 실행됩니다.

이 페이지는 Google Distributed Cloud (GDC) 에어갭 내에서 암호화 키를 관리하고 사용하는 IT 관리자 또는 보안 엔지니어와 같은 플랫폼 관리자 그룹의 사용자를 대상으로 합니다. 자세한 내용은 GDC 오프라인 문서의 대상을 참고하세요.

지원되는 키

KMS는 데이터 영역 작업에 다음 키를 지원합니다.

주요 기본 요소 키 기본 요소 (API) 설명 기본 알고리즘

주요 기본 요소	키 기본 요소 (API)	설명	기본 알고리즘
`AEAD`	`aeadkey`	`AES-256`를 사용하여 인증된 암호화를 실행하는 연관 데이터로 인증된 암호화 (`AEAD`) 키입니다. 키의 구성요소는 다음을 나타냅니다. `AES-256`: 256비트 고급 암호화 표준 (AES) 대칭 키 알고리즘입니다. 이 알고리즘은 기본 알고리즘입니다.	`AES_256_GCM`
`Signing`	`signingkey`	타원 곡선 지원을 사용하여 비대칭 서명을 제공하는 서명 키입니다. 키의 구성요소는 다음을 나타냅니다. `EC`: 타원 곡선 키입니다. `P384`: EC 곡선의 크기입니다. `SHA384`: 서명에 사용되는 다이제스트 알고리즘입니다. 이 알고리즘은 기본 알고리즘입니다.	`EC_SIGN_P384_SHA384`

AEAD

aeadkey

AES-256를 사용하여 인증된 암호화를 실행하는 연관 데이터로 인증된 암호화 (AEAD) 키입니다.

키의 구성요소는 다음을 나타냅니다.

AES_256_GCM

Signing

signingkey

타원 곡선 지원을 사용하여 비대칭 서명을 제공하는 서명 키입니다.

키의 구성요소는 다음을 나타냅니다.

EC_SIGN_P384_SHA384

KMS는 내부적으로 루트 키를 사용하여 키 자료를 디스크에 쓰기 전에 암호화하고 디스크에서 읽을 때 자료를 복호화합니다. KMS는 각 작업의 루트 키를 가져옵니다.

KMS는 조직당 단일 루트 키를 지원하며, KMS가 배포될 때 자동으로 생성됩니다. 루트 키는 모든 비루트 키를 래핑합니다. 각 키의 RootKeyID 필드를 사용하여 루트 키를 식별합니다.

루트 키가 손상되거나 주기적으로 순환해야 하는 경우 루트 키를 순환할 수 있습니다. 이 프로세스는 이전 루트 키를 새 키로 대체합니다. 새 키는 기본 키가 되고 루트가 아닌 모든 키를 래핑합니다.

루트 키 유형	루트 키 유형 (API)	설명
`Local Root (default)`	`kms.gdc.goog/local-root`	루트 키 암호화 자료는 관리 API 서버에 Kubernetes 보안 비밀로 저장됩니다.