Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

CMEK 키 순환

고객 관리 암호화 키 (CMEK)를 사용하면 Cloud KMS에서 제어하는 암호화 키로 지원되는Google Cloud 서비스의 데이터를 보호할 수 있습니다. 정해진 일정에 따라 자동 키 순환을 구성하거나 키를 수동으로 순환할 수 있습니다. 이 문서에서는 기본 Cloud KMS 키가 순환될 때 CMEK 통합 서비스에서 발생하는 상황을 설명합니다.

CMEK에서 키 순환이 작동하는 방식

Cloud KMS에서 키를 순환하면 Cloud KMS에서 해당 키의 새 버전을 만듭니다. 새 키 버전이 기본 버전이 되며 데이터를 보호하는 데이터 암호화 키 (DEK)를 암호화하는 데 사용할 수 있습니다. 이전 키 버전은 활성 상태로 유지되며 이를 사용하여 암호화된 DEK를 복호화하는 데 사용할 수 있습니다. 이 프로세스를 통해 이전 데이터에 항상 액세스할 수 있습니다.

CMEK 통합 서비스마다 키 순환을 처리하는 방식이 다르지만, 세 가지 주요 패턴이 있습니다.

새 키 버전이 모든 데이터를 보호함: 서비스에서 새 키 버전이 기본이 되었음을 감지하면 이전 키 버전으로 암호화된 DEK가 자동으로 다시 암호화됩니다. 새 데이터와 기존 데이터를 모두 보호하는 DEK는 현재 기본 키 버전으로 암호화됩니다. 기존 DEK를 다시 암호화하는 데 시간이 걸릴 수 있지만, 완료되면 이전 키 버전은 더 이상 사용되지 않습니다.
향후 새 키 버전 사용: 서비스에서 새 키 버전이 기본 버전이 되었음을 감지하면 후속 암호화 요청에서 새 키 버전을 사용합니다. 이 리소스의 데이터를 보호하는 DEK는 현재 및 이전 키 버전을 혼합하여 사용합니다.
새 키 버전이 사용되지 않음: 새 기본 키 버전이 있는지와 관계없이 서비스는 리소스가 생성될 때 구성된 원래 키 버전으로 DEK를 계속 암호화합니다.

키 순환 후 서비스별 동작

다음 표에서는 CMEK로 보호할 수 있는 리소스의 서비스별 순환 동작을 보여줍니다. 다음 표에는 각 리소스 유형 또는 리소스 유형 집합의 순환 세부정보가 설명되어 있습니다.

키 상속 가능: 리소스가 상위 리소스에서 키를 상속받을 수 있는지 여부입니다.
고유 키 사용 가능: 리소스가 상위 리소스에서 상속되지 않은 자체 고유 키를 사용할 수 있는지 여부입니다.
키 변경 가능: 리소스를 업데이트하는 동안 리소스를 보호할 새 CMEK를 선택할 수 있는지 여부입니다.
새 데이터: 새 DEK가 기본 키 버전으로 암호화되는지 아니면 리소스에 CMEK가 구성되었을 때 기본 키였던 원래 키 버전으로 암호화되는지 여부입니다.
기존 데이터: 기존 DEK가 기본 키 버전으로 다시 암호화되는지 아니면 리소스에 CMEK가 구성되었을 때 기본이었던 원래 키 버전으로 암호화된 상태로 유지되는지 여부입니다.

서비스 및 리소스	키를 상속할 수 있음	고유 키 사용 가능	키를 변경할 수 있음	새 데이터	기존 데이터
Application Integration `integrations.googleapis.com/IntegrationVersion` `integrations.googleapis.com/AuthConfig` `integrations.googleapis.com/Execution` `integrations.googleapis.com/Suspension` `integrations.googleapis.com/TestCase` `integrations.googleapis.com/Template`	아니요	예	예	새 기본 키 버전 사용	원본 키 버전 사용
Cloud Storage `storage.googleapis.com/Bucket` 참고: 버킷의 키가 순환되면 버킷 내 기존 객체가 자동으로 다시 암호화되지는 않습니다.	아니요	예	예	새 기본 키 버전 사용	새 기본 키 버전 사용
Cloud Storage `storage.googleapis.com/Object`	예	예	아니요	해당 사항 없음: 이 리소스는 변경할 수 없습니다.	원본 키 버전 사용
고객 경험 인사이트 `contactcenterinsights.googleapis.com/` 참고:* 고객 환경 통계는 리전별 프로젝트당 하나의 키를 사용합니다. 이 키는 해당 리전의 모든 리소스에서 상속됩니다.	예	아니요	아니요	알 수 없음	알 수 없음
Filestore `file.googleapis.com/instance` `file.googleapis.com/backup`	아니요	예	아니요	새 기본 키 버전 사용	원본 키 버전 사용
Firestore `firestore.googleapis.com/Database` `datastore.googleapis.com/Database`	아니요	예	아니요	새 기본 키 버전 사용	새 기본 키 버전 사용
Gemini Code Assist `cloudaicompanion.googleapis.com/CodeRepositoryIndex`	아니요	예	아니요	원본 키 버전 사용	원본 키 버전 사용
Pub/Sub `pubsub.googleapis.com/Topic`	아니요	예	예	새 기본 키 버전 사용	원본 키 버전 사용
Speech-to-Text `speech.googleapis.com/Config`	아니요	예	예	새 기본 키 버전 사용	원본 키 버전 사용
Speech-to-Text `speech.googleapis.com/CustomClass` `speech.googleapis.com/Endpoint` `speech.googleapis.com/Model` `speech.googleapis.com/PhraseSet` `speech.googleapis.com/Recognizer`	예	아니요	예	새 기본 키 버전 사용	원본 키 버전 사용

다음 단계

키를 순환하는 방법을 알아보세요.
고객 관리 암호화 키 (CMEK) 개요를 읽어보세요.