이 페이지는 Cloud Translation API를 통해 번역되었습니다.

Security Command Center에 CMEK 사용 설정

기본적으로 Security Command Center는 저장된 고객 콘텐츠를 암호화합니다. Security Command Center는 사용자 측의 추가 작업 없이 자동으로 암호화를 처리합니다. 이 옵션을 Google 기본 암호화라고 합니다.

암호화 키를 제어하려면 Security Command Center를 포함한 CMEK 통합 서비스와 함께 Cloud KMS에서 고객 관리 암호화 키(CMEK)를 사용하면 됩니다. Cloud KMS 키를 사용하면 보호 수준, 위치, 순환 일정, 사용 및 액세스 권한, 암호화 경계를 관리할 수 있습니다. Cloud KMS를 사용하면 키 사용을 추적하고 감사 로그를 보며 키 수명 주기를 제어할 수도 있습니다. Google에서 데이터를 보호하는 대칭 키 암호화 키(KEK)를 소유하고 관리하는 대신 사용자가 Cloud KMS에서 이러한 키를 제어하고 관리할 수 있습니다.

CMEK로 리소스를 설정한 후 Security Command Center 리소스에 액세스하는 환경은 Google 기본 암호화를 사용하는 것과 유사합니다. 암호화 옵션에 대한 자세한 내용은 고객 관리 암호화 키(CMEK)를 참조하세요.

업무 분장을 지원하고 키에 대한 액세스 권한을 더 효과적으로 제어하려면 다른 Google Cloud 리소스가 포함되지 않은 별도의 프로젝트에서 키를 만들고 관리하는 것이 좋습니다.

Security Command Center에서 CMEK를 사용하는 경우 프로젝트에서 Cloud KMS 암호화 요청 할당량을 사용할 수 있습니다. CMEK로 암호화된 인스턴스는 Security Command Center에서 데이터를 읽거나 쓸 때 할당량을 사용합니다. CMEK 키를 사용하는 암호화 및 복호화 작업은 하드웨어 (Cloud HSM) 또는 외부(Cloud EKM) 키를 사용하는 경우에만 Cloud KMS 할당량에 영향을 미칩니다. 자세한 내용은 Cloud KMS 할당량을 참고하세요.

CMEK와 함께 Security Command Center를 사용하려면 Security Command Center 조직을 활성화할 때 CMEK를 선택해야 합니다. Security Command Center를 활성화한 후에는 데이터 암호화를 구성할 수 없습니다. 프로젝트 수준 활성화 중에는 CMEK를 구성할 수 없습니다. 자세한 내용은 다음을 참조하세요.

Security Command Center를 활성화할 때 CMEK 조직 정책을 사용하여 선택한 암호화 설정을 적용할 수 있습니다. Security Command Center에서 CMEK 조직 정책을 사용하는 방법에 대한 자세한 내용은 CMEK 조직 정책 사용을 참고하세요.

CMEK는 Security Command Center 및 Security Command Center API에서 다음 데이터를 암호화합니다.

발견 항목
알림 구성
BigQuery Export
숨기기 구성

시작하기 전에

Security Command Center에 CMEK를 설정하기 전에 다음을 수행하세요.

Google Cloud CLI를 설치하고 초기화합니다.
1. Install the Google Cloud CLI.
2. If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
3. To initialize the gcloud CLI, run the following command:
```
gcloud init
```
Cloud KMS가 사용 설정된 Google Cloud 프로젝트를 만듭니다. 이 프로젝트가 키 프로젝트입니다.
올바른 위치에 있는 키링을 만듭니다. 키링 위치는 Security Command Center를 활성화할 위치와 일치해야 합니다. 각 Security Command Center 위치에 해당하는 키링 위치를 확인하려면 이 문서의 키 위치 섹션에 있는 표를 참고하세요. 키링을 만드는 방법에 대한 자세한 내용은 키링 만들기를 참고하세요.
키링에 Cloud KMS 키를 만듭니다. 키링에 키를 만드는 방법에 대한 자세한 내용은 키 만들기를 참고하세요.
Cloud Security Command Center 서비스 계정에 데이터를 암호화하고 복호화하는 데 필요한 권한이 있는지 확인하려면 관리자에게 Cloud KMS 키에 대한 Cloud KMS CryptoKey 암호화/복호화 (roles/cloudkms.cryptoKeyEncrypterDecrypter) IAM 역할을 Cloud Security Command Center 서비스 계정에 부여해 달라고 요청합니다.
중요: 이 역할은 사용자 계정이 아닌 Cloud Security Command Center 서비스 계정에 부여해야 합니다. 역할을 올바른 주 구성원에게 부여하지 않으면 권한 오류가 발생할 수 있습니다.
역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

관리자는 커스텀 역할이나 다른 사전 정의된 역할을 통해 Cloud Security Command Center 서비스 계정에 필요한 권한을 부여할 수도 있습니다.

키 위치

Cloud KMS 키 위치는 Security Command Center를 활성화한 위치와 일치해야 합니다. 다음 표에는 각 Security Command Center 위치의 해당 Cloud KMS 키 위치가 나와 있습니다.

Security Command Center 위치	Cloud KMS 키 위치
`eu`	`europe`
`global`	`us`
`sa`	`me-central2`
`us`	`us`

Security Command Center를 활성화할 때 데이터 상주를 사용 설정하지 않으면 Security Command Center 위치에 global를 사용하고 Cloud KMS 키 위치에 us를 사용합니다. 데이터 상주에 대한 자세한 내용은 데이터 상주 계획을 참고하세요.

Security Command Center와 함께 constraints/gcp.restrictNonCmekServices 조직 정책 제약 조건을 사용하는 경우 CMEK가 사용할 수 있는 유일한 암호화 옵션입니다.

제한사항

Security Command Center에서 CMEK를 사용하는 데에는 다음과 같은 제한사항이 있습니다.

활성화하려는 조직 또는 조직의 프로젝트에서 Security Command Center를 이미 활성화한 경우 해당 조직의 Security Command Center에서 CMEK를 사용할 수 없습니다.
프로젝트 수준 활성화 중에는 CMEK를 구성할 수 없습니다.
Security Command Center를 활성화한 후에는 Cloud KMS 키를 변경하거나Google-owned and Google-managed encryption key 로 전환할 수 없습니다.

경고: 활성화 후 CMEK를 사용 중지하거나, CMEK에 대한 액세스 권한을 취소하거나, CMEK를 폐기하면 Security Command Center가 작동을 중지하고 Security Command Center 데이터가 손실될 수 있습니다. 키 버전을 폐기하면 영구적으로 복구할 수 없는 데이터 손실이 발생합니다.
키를 순환하면 Security Command Center에서 새 키 버전을 사용합니다. 하지만 일부 Security Command Center 기능은 30일 동안 이전 키를 계속 사용합니다.

Security Command Center에서 CMEK 조직 정책 사용

Security Command Center에 CMEK 사용을 적용하려면 조직, 폴더 또는 프로젝트 수준에서 다음 조직 정책을 적용하면 됩니다.

constraints/gcp.restrictNonCmekServices(CMEK 사용 필요) 조직에 constraints/gcp.restrictNonCmekServices를 설정하고 Security Command Center를 CMEK 사용에 필요한 제한된 서비스로 나열한 경우 Security Command Center를 활성화할 때 CMEK를 사용해야 합니다.
constraints/gcp.restrictCmekCryptoKeyProjects: Security Command Center와 함께 CMEK를 사용할 때 특정 프로젝트 또는 프로젝트 집합의 키를 사용해야 합니다. constraints/gcp.restrictCmekCryptoKeyProjects 조직 정책만으로는 Google 기본 암호화를 선택할 수 있습니다.

Security Command Center를 활성화하는 조직에서 constraints/gcp.restrictNonCmekServices와 constraints/gcp.restrictCmekCryptoKeyProjects를 모두 설정하면 Security Command Center에서 CMEK를 사용해야 하며 CMEK 키가 특정 프로젝트에 있어야 합니다.

프로젝트 또는 폴더에 constraints/gcp.restrictNonCmekServices를 설정하는 경우 Security Command Center를 활성화하고 Security Command Center를 제한된 서비스로 나열하는 조직에서 CMEK를 사용해야 합니다. 그렇지 않으면 일부 Security Command Center 기능이 올바르게 작동하지 않습니다.

Google Cloud 리소스 계층 구조 (조직, 폴더, 프로젝트)에서 조직 정책이 평가되는 방법에 대한 자세한 내용은 계층 구조 평가 이해를 참고하세요.

CMEK 조직 정책 사용에 대한 일반적인 정보는 CMEK 조직 정책을 참고하세요.

Security Command Center의 CMEK 설정

Security Command Center에서 CMEK를 사용하려면 다음 단계를 따르세요.

조직의 Security Command Center를 활성화하는 동안 데이터 암호화 수정을 선택합니다. 데이터 암호화 설정 수정 창이 열립니다.
Cloud KMS 키를 선택합니다.
프로젝트를 선택합니다.
키를 선택합니다. 다른 조직의 프로젝트를 포함하여 모든 Google Cloud 프로젝트에서 키를 선택할 수 있습니다. 호환되는 위치의 키만 목록에 표시됩니다. Security Command Center의 CMEK 키 위치에 대한 자세한 내용은 키 위치 섹션의 표를 참고하세요.
완료를 클릭하고 Security Command Center 활성화 프로세스를 계속합니다.

조직에 Security Command Center를 활성화하면 Security Command Center에서 선택한 Cloud KMS 키를 사용하여 데이터를 암호화합니다.

CMEK 구성 확인

Security Command Center에 CMEK가 성공적으로 설정되었는지 확인하려면 다음 단계를 따르세요.

Security Command Center에서 설정을 선택합니다.
등급 세부정보 탭으로 이동합니다.
설정 세부정보 > 데이터 암호화로 이동하여 키 이름을 확인합니다. Security Command Center용 CMEK가 설정된 경우 키 이름이 데이터 암호화 뒤에 링크로 표시됩니다.

Security Command Center의 CMEK 문제 해결

Security Command Center Standard 및 Premium에서 CMEK를 사용 설정하는 데는 추가 요금이 부과되지 않지만, Security Command Center에서 CMEK를 사용하여 데이터를 암호화하고 복호화하는 경우 Cloud KMS에 요금이 적용됩니다. 자세한 내용은 Cloud KMS 가격 책정을 참고하세요.

Security Command Center 액세스 권한 복원

CMEK가 사용 설정된 경우 Security Command Center 서비스 계정이 작동하려면 Cloud KMS 키에 대한 액세스 권한이 필요합니다. CMEK에 대한 서비스 계정 권한을 취소하거나, CMEK를 사용 중지하거나, CMEK 폐기를 예약하지 마세요. 이러한 작업은 모두 다음 Security Command Center 기능의 작동을 중지시킵니다.

발견 항목
지속적 내보내기 구성
BigQuery Export
숨기기 규칙

Security Command Center를 사용하려고 할 때 Cloud KMS 키를 사용할 수 없으면 오류 메시지 또는 FAILED_PRECONDITION API 오류가 표시됩니다.

Cloud KMS 키에 다음 문제가 있는 경우 Security Command Center 기능을 사용하지 못할 수 있습니다.

서비스 계정의 키에 대한 Cloud KMS CryptoKey 암호화/복호화 역할이 취소되었을 수 있습니다. 키가 취소된 후 Security Command Center에 대한 액세스 권한을 복원할 수 있습니다.
Cloud KMS 키가 사용 중지되었을 수 있습니다. 키가 사용 중지된 후 Security Command Center에 대한 액세스 권한을 복원할 수 있습니다.
키 폐기가 예약되었을 수 있습니다. 키가 폐기되도록 예약된 후 Security Command Center에 대한 액세스 권한을 복원할 수 있습니다.

키가 취소된 후 Security Command Center 액세스 권한 복원

Security Command Center에서 키에 대한 액세스 권한을 복원하려면 키에 대한 Cloud Security Command Center 서비스 계정에 Cloud KMS CryptoKey 암호화/복호화 역할을 부여합니다.

gcloud kms keys add-iam-policy-binding KEY_NAME \
    --keyring KEY_RING \
    --location LOCATION \
    --member=serviceAccount:service-org-ORG_NUMBER@security-center-api.iam.gserviceaccount.com \
    --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

다음을 바꿉니다.

KEY_RING: Cloud KMS 키의 키링
LOCATION: Cloud KMS 키의 위치
KEY_NAME: Cloud KMS 키의 이름
ORG_NUMBER: 조직 번호

키가 사용 중지된 후 Security Command Center에 대한 액세스 권한 복원

사용 중지된 키를 사용 설정하는 방법에 대한 자세한 내용은 키 버전 사용 설정을 참고하세요.

키가 폐기되도록 예약된 후 Security Command Center에 대한 액세스 권한 복원

폐기 예약된 키를 복원하는 방법에 대한 자세한 내용은 키 버전 폐기 및 복원을 참고하세요.

키가 폐기된 후에는 키를 복구할 수 없으며 Security Command Center에 대한 액세스 권한을 복원할 수 없습니다.

보호된 리소스 생성 오류

새 발견 항목, 알림 구성, 무음 구성 또는 BigQuery 내보내기를 만드는 데 오류가 발생하는 경우 조직 또는 해당 조직의 프로젝트나 폴더에 CMEK 조직 정책이 설정되어 있는지 확인하세요.

Security Command Center 조직을 활성화할 때 Google-owned and Google-managed encryption keys 를 선택하고 조직의 프로젝트 또는 폴더에 constraints/gcp.restrictNonCmekServices CMEK 조직 정책을 설정하고 Security Command Center를 제한된 서비스로 나열하면 해당 프로젝트 또는 폴더에서 새로운 보호 리소스를 만들 수 없습니다. 자세한 내용은 Security Command Center에서 CMEK 조직 정책 사용을 참고하세요.

가격 책정

Security Command Center 표준 또는 프리미엄에서 CMEK를 사용 설정하는 데는 추가 요금이 부과되지 않지만, Security Command Center에서 CMEK를 사용하여 데이터를 암호화하거나 복호화하는 경우 Cloud KMS에 요금이 적용됩니다. 자세한 내용은 Cloud KMS 가격 책정을 참고하세요.