고객 관리 암호화 키
기본적으로 Integration Connectors는 저장 중인 고객 콘텐츠를 암호화합니다. Integration Connectors는 사용자 측의 추가 작업 없이 자동으로 암호화를 처리합니다. 이 옵션을 Google 기본 암호화 라고 합니다.
암호화 키를 제어하려면 Integration Connectors를 포함한 CMEK 통합 서비스와 함께 Cloud KMS에서 고객 관리 암호화 키 (CMEK)를 사용하면 됩니다. Cloud KMS 키를 사용하면 보호 수준, 위치, 순환 일정, 사용 및 액세스 권한, 암호화 경계 를 관리할 수 있습니다. Cloud KMS를 사용하면 감사 로그를 보고 키 수명 주기를 제어할 수도 있습니다. Google에서 데이터를 보호하는 대칭 키 암호화 키 (KEK)를 소유하고 관리하는 대신 사용자가 Cloud KMS에서 이러한 키를 제어하고 관리할 수 있습니다.
CMEK로 리소스를 설정한 후 Integration Connectors 리소스에 액세스하는 환경은 Google 기본 암호화를 사용하는 것과 유사합니다. 암호화 옵션에 대한 자세한 내용은 고객 관리 암호화 키 (CMEK)를 참조하세요.
시작하기 전에
Integration Connectors에 CMEK를 사용하기 전에 다음 태스크가 완료되었는지 확인합니다.
- 암호화 키를 저장할 프로젝트에 Cloud KMS API를 사용 설정합니다.
- 암호화 키를 저장할 프로젝트에 대해 Cloud KMS 관리자 IAM 역할을 할당하거나 다음 IAM 권한을 부여합니다.
cloudkms.cryptoKeys.setIamPolicycloudkms.keyRings.createcloudkms.cryptoKeys.create
추가 역할 또는 권한 부여에 대한 자세한 내용은 액세스 권한 부여, 변경, 취소를 참조하세요.
- 키링 및 키를 만듭니다.
CMEK 키에 서비스 계정 추가
Integration Connectors에서 CMEK 키를 사용하려면 기본 서비스 계정 (service-PROJECT_NUMBER@gcp-sa-connectors.iam.gserviceaccount.com)이 추가되었고 이 계정에 해당 CMEK 키에 대한 CryptoKey 암호화/복호화 IAM 역할이 할당되었는지 확인해야 합니다.
- 콘솔에서 키 인벤토리 페이지로 이동합니다. Google Cloud
- 원하는 CMEK 키의 체크박스를 선택합니다.
오른쪽 창의 권한 탭이 활성화됩니다.
- **주 구성원 추가** 를 클릭하고 기본 서비스 계정의 이메일 주소를 입력합니다.
- 역할 선택을 클릭하고 사용 가능한 드롭다운 목록에서 Cloud KMS CryptoKey 암호화/복호화 역할을 선택합니다.
- 저장 을 클릭합니다.
기존 Integration Connectors 리전에 CMEK 암호화 사용 설정
CMEK를 사용하여 리전 (위치라고도 함)에 저장된 지원되는 데이터를 암호화하고 복호화할 수 있습니다. 기존 Integration Connectors 리전에 CMEK 암호화를 사용 설정하려면 다음 단계를 수행하세요.
- 콘솔에서 Integration Connectors > 연결 페이지로 이동합니다. Google Cloud
모든 연결 페이지로 이동합니다.
- 필요한 위치 에 대한 연결을 필터링합니다.
지정된 위치 (리전)의 모든 연결 목록이 표시됩니다.
- 리전의 모든 연결을 일시중지합니다.
- Integration Connectors > 리전 페이지로 이동합니다. Integration Connectors를 사용할 수 있는 모든 리전이 나열됩니다.
- CMEK를 사용 설정하려는 리전의 작업 메뉴에서 암호화 수정 을 클릭합니다. 그러면 암호화 수정 창이 표시됩니다.
- 고객 관리 암호화 키 (CMEK)를 선택한 다음
고객 관리 키 드롭다운 목록에서 필요한 키를 선택합니다.
그러면 서비스 계정에
cloudkms.cryptoKeyEncrypterDecrypter역할을 부여하라는 메시지가 표시될 수 있습니다. 권한 부여 를 클릭합니다. - 완료 를 클릭합니다.
새 Integration Connectors 리전에 CMEK 암호화 사용 설정
CMEK를 사용하여 리전 (위치라고도 함)에 저장된 지원되는 데이터를 암호화하고 복호화할 수 있습니다. 새 Integration Connectors 리전에 CMEK 암호화를 사용 설정하려면 다음 단계를 수행하세요.
- 콘솔에서 Integration Connectors > 리전 페이지로 이동합니다. Google Cloud
리전 페이지로 이동합니다.
- 새 리전 프로비저닝 을 클릭합니다. 그러면 리전 만들기 페이지가 표시됩니다.
- 리전 드롭다운 목록에서 필요한 리전을 선택합니다.
- 고급 설정 섹션에서 고객 관리 암호화 키 (CMEK)를 선택한 다음 고객 관리 키 드롭다운 목록에서 필요한 키를 선택합니다.
그러면 서비스 계정에
cloudkms.cryptoKeyEncrypterDecrypter역할을 부여하라는 메시지가 표시될 수 있습니다. 권한 부여 를 클릭합니다. - 완료 를 클릭합니다.
키 순환 및 재암호화
CMEK 키가 순환되면 기존 데이터가 새 키 버전으로 자동으로 다시 암호화되지 않으며 Integration Connectors는 수동 재암호화를 지원하지 않습니다. 하지만 이전 활성 키 버전이 사용 중지되거나 폐기되지 않는 한 데이터에 계속 액세스할 수 있습니다.
Cloud KMS 할당량 및 Integration Connectors
Integration Connectors에서 CMEK를 사용할 때 프로젝트는 Cloud KMS 암호화 요청 할당량을 사용할 수 있습니다. 예를 들어 CMEK 키는 각 암호화 및 복호화 호출에 이러한 할당량을 사용할 수 있습니다.
CMEK 키를 사용한 암호화 및 복호화 작업은 다음과 같은 방식으로 Cloud KMS 할당량에 영향을 미칩니다.
- Cloud KMS에서 생성된 소프트웨어 CMEK 키의 경우 Cloud KMS 할당량이 사용되지 않습니다.
- 하드웨어 CMEK 키(Cloud HSM 키라고도 함)의 경우 키가 포함된 프로젝트의 Cloud HSM 할당량에 암호화 및 복호화 작업이 집계됩니다.
- 외부 CMEK 키(Cloud EKM 키라고도 함)의 경우 키가 포함된 프로젝트의 Cloud EKM 할당량에 암호화 및 복호화 작업이 집계됩니다.
자세한 내용은 Cloud KMS 할당량을 참조하세요.