Google Workspace용 Cloud HSM 온보딩

이 페이지에서는 Cloud Key Management Service(Cloud KMS)에서 제공하는 Google Workspace용 암호화 키 서비스인 Google Workspace용 Cloud HSM (CHGWS)을 온보딩하는 방법을 설명합니다. Google Workspace용 Cloud HSM은 Google Workspace의 개인 정보 보호 제어를 강화하여 DISA IL5와 같은 규제 표준을 달성하고 데이터 보안을 강화하는 데 도움이 됩니다. Cloud HSM은 표준을 준수하고 가용성이 높으며 FIPS 140-2 Level 3을 준수하는 HSM (하드웨어 보안 모듈)에 저장된 하드웨어 지원 키를 사용하여 클라우드 규모로 운영되는 완전 관리형 키 관리 서비스입니다.

CHGWS는 멀티 테넌트 Cloud HSM 키와 단일 테넌트 Cloud HSM 키 모두와 호환됩니다.

자세한 내용은 Google Workspace용 Cloud HSM을 참고하세요.

시작하기 전에

Google Workspace용 Cloud HSM을 온보딩하기 전에 다음의 사전 요구사항을 완료하세요.

  • Google Workspace를 설정합니다.
  • Google Workspace에서 Google Workspace 클라이언트 측 암호화 (CSE)를 사용 설정합니다.
  • Google Workspace CSE에서 ID 공급업체 (IdP)를 구성합니다. IdP의 클라이언트 ID를 기록해 둡니다. Google Identity Platform을 사용하는 경우클라이언트 ID 를프로젝트에서 찾습니다. Google Cloud
  • 선택사항: 웹 이외의 플랫폼 애플리케이션 (예: 모바일 또는 데스크톱)에서 CSE 암호화된 콘텐츠에 대한 액세스를 허용하는 경우 Google Workspace 관리 콘솔의 IdP 설정에 이러한 플랫폼의 클라이언트 ID를 추가합니다. 이 IdP의 모든 클라이언트 ID를 기록해 둡니다. Google Identity Platform을 사용하는 경우 프로젝트에서 이러한 클라이언트 ID를 찾습니다. Google Cloud 다른 ID 공급업체의 경우 이러한 클라이언트 ID를 별도로 만듭니다.

호환되는 위치

미국 또는 유럽 지리적 영역 내의 모든 리전 또는 멀티 리전 위치에 Cloud KMS 키를 저장할 수 있습니다. Google Workspace용 Cloud HSM은 멀티 테넌트 Cloud HSM 키와 단일 테넌트 Cloud HSM 키를 모두 지원합니다. 특정 위치를 찾으려면 Cloud KMS 위치로 이동하여 HSM 유형별로 필터링합니다.

Google Workspace용 Cloud HSM은 키 위치에 가장 가까운 다음 멀티 리전 중 하나의 엔드포인트를 자동으로 제공합니다.

  • 미국
  • eur3

Cloud KMS용 Google Cloud 프로젝트 설정

Google Workspace용 Cloud HSM 엔드포인트는 암호화 작업에 Cloud KMS 키를 사용합니다. Cloud KMS 키를 호스팅할 새 Google Cloud 프로젝트를 설정합니다.

  1. 프로젝트를 Google Cloud 만듭니다. 이것이 키 프로젝트입니다. 프로젝트 ID와 프로젝트 번호를 기록해 둡니다. 설정 완료에 필요합니다.

  2. 만든 프로젝트에서 결제를 사용 설정합니다.

  3. 키 프로젝트에서 Cloud KMS API를 사용 설정합니다. Google Cloud

    API 사용 설정하기

  4. 콘솔에서 터미널 Cloud Shell 활성화를 클릭합니다. Google Cloud

  5. 프로젝트 ID를 Cloud Shell 프롬프트의 프로젝트 ID와 비교하여 올바른 프로젝트에 있는지 확인합니다.

  6. Cloud Shell을 사용하여 Google Workspace용 Cloud HSM 서비스 계정을 만듭니다.

    gcloud beta services identity create \
    --service=cloudkmskacls-pa.googleapis.com

    이 명령어에서 만든 서비스 계정을 기록해 둡니다. 다음 단계에서 서비스 계정 이름이 필요합니다.

  7. 만든 서비스 계정에 CHGWS 키 서비스 에이전트 역할을 부여합니다.

    gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-cloudkmskacls.iam.gserviceaccount.com \
    --role=roles/cloudkmskacls.serviceAgent

    다음을 바꿉니다.

    • PROJECT_ID: 키 프로젝트의 프로젝트 ID입니다.
    • PROJECT_NUMBER: 키 프로젝트의 프로젝트 번호입니다.

CHGWS 서비스 엔드포인트 관리

다음 섹션에서는 CHGWS 엔드포인트를 설정하고 관리하는 방법을 보여줍니다.

Cloud KMS 키 설정

CHGWS 키 서비스 엔드포인트의 Cloud KMS 리소스를 설정합니다.

  1. 지원되는 리전 중 하나에 키링을 만듭니다.

    gcloud kms keyrings create KEY_RING --location LOCATION
    • KEY_RING을 CHGWS 키링에 사용하려는 이름(예: CHGWS_KEY_RING)으로 바꿉니다.
    • LOCATION을 키링을 만들려는 위치(예: us)로 바꿉니다.

  2. Cloud HSM 키를 만듭니다.

    멀티 테넌트 Cloud HSM

    hsm 보호 수준으로 키를 만들려면 다음 안내를 따르세요.

    gcloud kms keys create KEY_NAME \
    --protection-level "hsm" \
    --keyring KEY_RING \
    --location LOCATION \
    --purpose "encryption" \
    --rotation-period ROTATION_PERIOD \
    --next-rotation-time NEXT_ROTATION_TIME

    다음을 바꿉니다.

    • KEY_NAME: 키에 사용하려는 이름(예: CHGWS_KEY)입니다.
    • KEY_RING: 키 링의 이름(예: CHGWS_KEY_RING)입니다.
    • LOCATION: 키링을 만든 위치(예: us)입니다.
    • ROTATION_PERIOD: 키를 순환하려는 빈도(예: 7d)입니다.
    • NEXT_ROTATION_TIME: 다음 키 순환이 발생하는 날짜 및 시간(예: 2024-03-20T01:00:00)입니다.

    단일 테넌트 Cloud HSM

    hsm_single_tenant 보호 수준으로 키를 만들려면 먼저 동일한 위치에 단일 테넌트 Cloud HSM 인스턴스가 프로비저닝되어 있어야 합니다.

    1. 단일 테넌트 Cloud HSM 인스턴스 만들기 및 프로비저닝: 단일 테넌트 Cloud HSM 인스턴스 만들기 및 관리 가이드의 안내를 따르세요. 프로비저닝된 인스턴스 ID를 기록해 둡니다. 다음 단계에서 사용합니다.

    2. 키 만들기:

      gcloud kms keys create KEY_NAME \
    --protection-level "hsm_single_tenant" \
    --keyring KEY_RING \
    --location LOCATION \
    --purpose "encryption" \
    --crypto-key-backend "projects/PROJECT_ID/locations/LOCATION/singleTenantHsmInstances/INSTANCE_NAME" \
    --rotation-period ROTATION_PERIOD \
    --next-rotation-time NEXT_ROTATION_TIME

      다음을 바꿉니다.

      • KEY_NAME: 키에 사용하려는 이름(예: CHGWS_KEY)입니다.
      • KEY_RING: 키 링의 이름(예: CHGWS_KEY_RING)입니다.
      • LOCATION: 키링을 만든 위치(예: us)입니다.
      • PROJECT_ID: 키 프로젝트의 프로젝트 ID입니다.
      • INSTANCE_NAME: 키를 만들려는 단일 테넌트 Cloud HSM 인스턴스의 이름입니다.
      • ROTATION_PERIOD: 키를 순환하려는 빈도(예: 7d)입니다.
      • NEXT_ROTATION_TIME: 다음 키 순환이 발생하는 날짜 및 시간(예: 2024-03-20T01:00:00)입니다.

    키 만들기 옵션에 대한 자세한 내용은 키 만들기를 참고하세요.

온보딩 및 엔드포인트 생성 요청

온보딩 및 엔드포인트 생성을 요청하려면 계정 담당자에게 문의하여 엔드포인트 온보딩 요청 제출에 관한 지원을 받으세요. 요청에 다음 정보를 포함합니다.

  • Google Workspace 세부정보

  • ID 공급업체 (IdP) 세부정보

    • 기본 ID 공급업체 (IdP) 세부정보:

      • IdP JSON 웹 키 세트 (JWKS) URL: Google Identity Platform의 경우 https://www.googleapis.com/oauth2/v3/certs를 사용합니다.
      • JSON 웹 토큰 (JWT) 토큰 발급자: Google Identity Platform의 경우 을 사용합니다https://accounts.google.com.
      • JWT 대상: 웹 애플리케이션의 IdP 클라이언트 ID입니다.
      • 추가 JWT 대상: 선택사항입니다. 웹 이외의 플랫폼 애플리케이션에 클라이언트 ID를 제공합니다(구성된 경우). Google Identity Platform의 경우 CSE에 Google ID를 사용하는 경우에 제공된 클라이언트 ID를 사용합니다.

    • 게스트 IdP 세부정보: 선택사항입니다. 게스트 IdP를 사용하는 경우 이 섹션을 완료합니다.

      • 게스트 IdP JWKS URL: 게스트 IdP의 JWKS URL입니다.
      • 게스트 JWT 토큰 발급자: 게스트 IdP의 JWT 토큰 발급자입니다.
      • 게스트 JWT 대상: Google Meet을 제외한 웹 애플리케이션의 게스트 IdP 클라이언트 ID입니다.
      • 게스트 추가 JWT 대상: 선택사항입니다. Google Meet 웹 클라이언트 ID 또는 기타 웹 이외의 플랫폼 애플리케이션 클라이언트 ID를 구성하는 경우 각 클라이언트 ID를 제공합니다. Google Identity Platform의 경우 CSE에 Google ID를 사용하는 경우에 제공된 클라이언트 ID를 사용합니다 .

  • CSE 키 세부정보

    • Google Cloud 프로젝트 ID: PROJECT_ID
    • Google Cloud 프로젝트 번호: PROJECT_NUMBER
    • Cloud KMS 키링 이름: KEY_RING
    • Cloud KMS 키링 위치: LOCATION
    • Cloud KMS 키 이름: KEY_NAME
    • Cloud KMS 키 보호 수준: hsm 또는 hsm_single_tenant여야 합니다.
    • CHGWS 기본 URL: 선택사항입니다. 키 이전을 사용 설정할 URL 목록입니다. 이 Google Workspace에 CHGWS를 처음 설정하는 경우 이 필드를 비워 둡니다.

  • 추가 세부정보

    • 고객 이름: 고객 이름을 제공합니다.
    • 예상 사용자 수: Google Workspace 인스턴스의 예상 사용자 수를 제공합니다.

Google Workspace CSE에서 CHGWS 엔드포인트 구성

CHGWS 엔드포인트를 만들 때 생성된 CHGWS URL을 사용하도록 Google Workspace CSE를 구성합니다. 클라이언트 측 암호화에 필요한 키 관리 서비스 추가 및 관리하기 의 안내를 따르세요.

키 관리 서비스 이전

CHGWS는 키 관리 서비스를 CHGWS로 또는 CHGWS에서 이동할 수 있는 유연성을 제공합니다. 키 관리 서비스 이전을 시작하려면 계정 담당자에게 문의하여 이전 요청 제출에 관한 지원을 받으세요. 요청에 다음 정보를 포함합니다.

  • 엔드포인트 ID: CHGWS의 엔드포인트 ID입니다.

  • 키 관리 서비스 URL: 키 관리 서비스 이전을 사용 설정할 URL 목록입니다.

    • Google Workspace용 Cloud HSM으로 이전하는 경우 이전하는 각 키 관리 서비스 엔드포인트의 기본 URL을 제공합니다.
    • Google Workspace용 Cloud HSM에서 이전하는 경우 이전하려는 키 관리 서비스 엔드포인트의 기본 URL을 제공합니다.

엔드포인트 삭제 또는 사용 중지

Google Workspace용 Cloud HSM 엔드포인트에서 삭제 또는 사용 중지 작업은 직접 지원되지 않습니다. 하지만 모든 지원 Cloud KMS 키 버전을 사용 중지하여 Google Workspace용 Cloud HSM 엔드포인트를 사용 중지할 수 있습니다.

  • 엔드포인트를 지원하는 각 Cloud KMS 키 버전에 대해 다음 명령어를 실행합니다.

    gcloud kms keys versions disable KEY_VERSION --keyring \
    KEY_RING --location LOCATION --key KEY_NAME

    다음을 바꿉니다.

    • KEY_VERSION: 사용 중지하려는 키의 버전(예: 1)입니다.
    • KEY_RING: 키링의 이름(예: CHGWS_KEY_RING)입니다.
    • LOCATION: 사용 중지하려는 위치(예: us)입니다.
    • KEY_NAME: 키의 이름(예: CHGWS_KEY)입니다.

엔드포인트 사용 설정

지원 Cloud KMS 키의 모든 키 버전을 사용 중지하여 CHGWS 엔드포인트를 사용 중지한 경우 CHGWS 엔드포인트를 다시 사용 설정할 수 있습니다. 엔드포인트를 다시 사용 설정하려면 다음 gcloud CLI 명령어를 사용하여 지원 Cloud KMS 키의 모든 활성 버전을 사용 설정합니다.

  • 엔드포인트를 지원하는 각 Cloud KMS 키 버전에 대해 다음 명령어를 실행합니다.

    gcloud kms keys versions enable KEY_VERSION --keyring \
    KEY_RING --location LOCATION --key KEY_NAME

    다음을 바꿉니다.

    • KEY_VERSION: 사용 설정하려는 키의 버전(예: 1)입니다.
    • KEY_RING: 키링의 이름(예: CHGWS_KEY_RING)입니다.
    • LOCATION: 사용 설정하려는 위치(예: us)입니다.
    • KEY_NAME: 키의 이름(예: CHGWS_KEY)입니다.

CHGWS 결제 관리

온보딩 요청에서 요청한 CHGWS 엔드포인트가 제공되는 즉시 결제가 시작됩니다. 이 시점부터 CHGWS 엔드포인트를 사용 중지하더라도 프로젝트에서 결제가 사용 설정되어 있는 한 Google Workspace용 Cloud HSM의 반복 구독 요금이 계속 청구됩니다. Google Cloud 이 섹션에서는 Google Workspace용 Cloud HSM의 요금 청구를 중지하고 다시 시작하는 방법을 설명합니다.

프로젝트 결제 사용 중지/사용 설정

Google Workspace용 Cloud HSM의 Cloud KMS 키가 포함된 프로젝트의 결제를 사용 중지할 수 있습니다. 결제를 사용 중지하면 프로젝트 내의 모든 청구 가능 서비스가 작동을 중지합니다. 프로젝트 수준 결제가 사용 중지되면 24시간 이내에 Google Workspace용 Cloud HSM 구독 요금이 중지됩니다.

Google Workspace용 Cloud HSM 사용을 다시 시작하려면 프로젝트에서 결제를 다시 사용 설정하면 됩니다. 결제가 다시 사용 설정되면 구독료가 다시 청구되고 CHGWS 엔드포인트와 Cloud KMS 키가 다시 정상적으로 작동합니다.

수동 비활성화 또는 활성화 요청

다른 프로젝트 리소스는 활성 상태로 유지하면서 CHGWS 엔드포인트를 사용 중지해야 하는 경우 온보딩 요청과 유사한 요청을 제출합니다. Google Workspace 세부정보, CHGWS 엔드포인트 ID, 기타 관련 세부정보를 제공하고 요구사항을 설명합니다. 수동 티켓은 CHGWS팀에서 완료하는 데 48시간이 걸릴 수 있습니다. 요청이 완료되면 24시간 이내에 Google Workspace용 Cloud HSM 구독 요금이 중지됩니다.

유사한 요청을 만들어 CHGWS 엔드포인트와 결제를 다시 사용 설정할 수 있습니다.

프로젝트 삭제 또는 복원

Google Workspace용 Cloud HSM의 Cloud KMS 키가 포함된 프로젝트를 삭제할 수 있습니다. 프로젝트를 삭제하면 프로젝트 내의 모든 서비스가 중지됩니다. 삭제 후 30일 이내에 삭제된 프로젝트를 복구할 수 있습니다. 하지만 프로젝트의 Cloud KMS 키는 복구할 수 없으므로 복원된 프로젝트의 키로 암호화된 모든 문서와 기타 데이터는 영구적으로 암호화 삭제됩니다. 삭제된 프로젝트를 복원하면 Cloud KMS 키를 복구할 수 없더라도 Google Workspace용 Cloud HSM의 구독 요금이 다시 청구됩니다.

다음 단계