고객 관리 암호화 키

기본적으로 Integration Connectors는 저장 중인 고객 콘텐츠를 암호화합니다. Integration Connectors는 사용자 측의 추가 작업 없이 자동으로 암호화를 처리합니다. 이 옵션을 Google 기본 암호화 라고 합니다.

암호화 키를 제어하려면 Integration Connectors를 포함한 CMEK 통합 서비스와 함께 Cloud KMS에서 고객 관리 암호화 키 (CMEK)를 사용하면 됩니다. Cloud KMS 키를 사용하면 보호 수준, 위치, 순환 일정, 사용 및 액세스 권한, 암호화 경계 를 관리할 수 있습니다. Cloud KMS를 사용하면 감사 로그를 보고 키 수명 주기를 제어할 수도 있습니다. Google에서 데이터를 보호하는 대칭 키 암호화 키 (KEK)를 소유하고 관리하는 대신 사용자가 Cloud KMS에서 이러한 키를 제어하고 관리할 수 있습니다.

CMEK로 리소스를 설정한 후 Integration Connectors 리소스에 액세스하는 환경은 Google 기본 암호화를 사용하는 것과 유사합니다. 암호화 옵션에 대한 자세한 내용은 고객 관리 암호화 키 (CMEK)를 참조하세요.

시작하기 전에

Integration Connectors에 CMEK를 사용하기 전에 다음 태스크가 완료되었는지 확인합니다.

  1. 암호화 키를 저장할 프로젝트에 Cloud KMS API를 사용 설정합니다.

    Cloud KMS API 사용 설정

  2. 암호화 키를 저장할 프로젝트에 대해 Cloud KMS 관리자 IAM 역할을 할당하거나 다음 IAM 권한을 부여합니다.
    • cloudkms.cryptoKeys.setIamPolicy
    • cloudkms.keyRings.create
    • cloudkms.cryptoKeys.create

    추가 역할 또는 권한 부여에 대한 자세한 내용은 액세스 권한 부여, 변경, 취소를 참조하세요.

  3. 키링를 만듭니다.

CMEK 키에 서비스 계정 추가

Integration Connectors에서 CMEK 키를 사용하려면 기본 서비스 계정 (service-PROJECT_NUMBER@gcp-sa-connectors.iam.gserviceaccount.com)이 추가되었고 이 계정에 해당 CMEK 키에 대한 CryptoKey 암호화/복호화 IAM 역할이 할당되었는지 확인해야 합니다.

  1. 콘솔에서 키 인벤토리 페이지로 이동합니다. Google Cloud

    키 인벤토리 페이지로 이동

  2. 원하는 CMEK 키의 체크박스를 선택합니다.

    오른쪽 창의 권한 탭이 활성화됩니다.

  3. **주 구성원 추가** 를 클릭하고 기본 서비스 계정의 이메일 주소를 입력합니다.
  4. 역할 선택을 클릭하고 사용 가능한 드롭다운 목록에서 Cloud KMS CryptoKey 암호화/복호화 역할을 선택합니다.
  5. 저장 을 클릭합니다.

기존 Integration Connectors 리전에 CMEK 암호화 사용 설정

CMEK를 사용하여 리전 (위치라고도 함)에 저장된 지원되는 데이터를 암호화하고 복호화할 수 있습니다. 기존 Integration Connectors 리전에 CMEK 암호화를 사용 설정하려면 다음 단계를 수행하세요.

  1. 콘솔에서 Integration Connectors > 연결 페이지로 이동합니다. Google Cloud

    모든 연결 페이지로 이동합니다.

  2. 필요한 위치 에 대한 연결을 필터링합니다.

    지정된 위치 (리전)의 모든 연결 목록이 표시됩니다.

  3. 리전의 모든 연결을 일시중지합니다.
  4. Integration Connectors > 리전 페이지로 이동합니다. Integration Connectors를 사용할 수 있는 모든 리전이 나열됩니다.
  5. CMEK를 사용 설정하려는 리전의 작업 메뉴에서 암호화 수정 을 클릭합니다. 그러면 암호화 수정 창이 표시됩니다.
  6. 고객 관리 암호화 키 (CMEK)를 선택한 다음 고객 관리 키 드롭다운 목록에서 필요한 키를 선택합니다.

    그러면 서비스 계정에 cloudkms.cryptoKeyEncrypterDecrypter 역할을 부여하라는 메시지가 표시될 수 있습니다. 권한 부여 를 클릭합니다.

  7. 완료 를 클릭합니다.

새 Integration Connectors 리전에 CMEK 암호화 사용 설정

CMEK를 사용하여 리전 (위치라고도 함)에 저장된 지원되는 데이터를 암호화하고 복호화할 수 있습니다. 새 Integration Connectors 리전에 CMEK 암호화를 사용 설정하려면 다음 단계를 수행하세요.

  1. 콘솔에서 Integration Connectors > 리전 페이지로 이동합니다. Google Cloud

    리전 페이지로 이동합니다.

  2. 새 리전 프로비저닝 을 클릭합니다. 그러면 리전 만들기 페이지가 표시됩니다.
  3. 리전 드롭다운 목록에서 필요한 리전을 선택합니다.
  4. 고급 설정 섹션에서 고객 관리 암호화 키 (CMEK)를 선택한 다음 고객 관리 키 드롭다운 목록에서 필요한 키를 선택합니다.

    그러면 서비스 계정에 cloudkms.cryptoKeyEncrypterDecrypter 역할을 부여하라는 메시지가 표시될 수 있습니다. 권한 부여 를 클릭합니다.

  5. 완료 를 클릭합니다.

키 순환 및 재암호화

CMEK 키가 순환되면 기존 데이터가 새 키 버전으로 자동으로 다시 암호화되지 않으며 Integration Connectors는 수동 재암호화를 지원하지 않습니다. 하지만 이전 활성 키 버전이 사용 중지되거나 폐기되지 않는 한 데이터에 계속 액세스할 수 있습니다.

Cloud KMS 할당량 및 Integration Connectors

Integration Connectors에서 CMEK를 사용할 때 프로젝트는 Cloud KMS 암호화 요청 할당량을 사용할 수 있습니다. 예를 들어 CMEK 키는 각 암호화 및 복호화 호출에 이러한 할당량을 사용할 수 있습니다.

CMEK 키를 사용한 암호화 및 복호화 작업은 다음과 같은 방식으로 Cloud KMS 할당량에 영향을 미칩니다.

  • Cloud KMS에서 생성된 소프트웨어 CMEK 키의 경우 Cloud KMS 할당량이 사용되지 않습니다.
  • 하드웨어 CMEK 키(Cloud HSM 키라고도 함)의 경우 키가 포함된 프로젝트의 Cloud HSM 할당량에 암호화 및 복호화 작업이 집계됩니다.
  • 외부 CMEK 키(Cloud EKM 키라고도 함)의 경우 키가 포함된 프로젝트의 Cloud EKM 할당량에 암호화 및 복호화 작업이 집계됩니다.

자세한 내용은 Cloud KMS 할당량을 참조하세요.