기본적으로 Google Cloud Observability는 저장된 고객 콘텐츠를 암호화합니다. Google Cloud Observability는 사용자의 추가 작업 없이 자동으로 암호화를 처리합니다. 이 옵션을 Google 기본 암호화라고 합니다.
암호화 키를 제어하려면 Google Cloud Observability를 포함한 CMEK 통합 서비스와 함께 Cloud KMS에서 고객 관리 암호화 키(CMEK)를 사용하면 됩니다. Cloud KMS 키를 사용하면 보호 수준, 위치, 순환 일정, 사용 및 액세스 권한, 암호화 경계를 관리할 수 있습니다. Cloud KMS를 사용하면 감사 로그를 보고 키 수명 주기를 제어할 수도 있습니다. Google에서 데이터를 보호하는 대칭 키 암호화 키(KEK)를 소유하고 관리하는 대신 사용자가 Cloud KMS에서 이러한 키를 제어하고 관리할 수 있습니다.
CMEK로 리소스를 설정한 후 Google Cloud Observability 리소스에 액세스하는 환경은 Google 기본 암호화를 사용하는 것과 유사합니다. 암호화 옵션에 대한 자세한 내용은 고객 관리 암호화 키(CMEK)를 참조하세요.
Google Cloud Observability는 CMEK를 사용하여 관측 가능성 버킷에 저장된 데이터를 암호화할 수 있습니다. 이러한 버킷은 추적 데이터를 저장합니다. 이 문서에서는 지원되는 조직 정책을 나열하고, 관측 가능성 버킷의 기본 설정을 소개하며, 조직 정책과 기본 설정이 상호작용하는 방식을 설명합니다.
이 문서는 로그 버킷에 저장된 데이터를 CMEK로 암호화할 수 있는 Cloud Logging에는 적용되지 않습니다. 자세한 내용은 Cloud Logging에 CMEK 구성을 참고하세요.
지원되는 조직 정책 제약조건
관측 가능성 버킷이 생성되는 위치와 이러한 버킷의 암호화 키를 관리하는 사용자를 제어하려면 다음 조직 정책을 구성하는 것이 좋습니다.
제약 조건 ID가
constraints/gcp.resourceLocations인 정책 이 정책은 새 리소스를 만들 수 있는 위치 집합을 정의합니다. 관측 가능성 버킷을 사용하려면 이 위치 집합에 하나 이상의 지원되는 관측 가능성 버킷 위치가 포함되어야 합니다.제약 조건 ID가
constraints/gcp.restrictNonCmekServices인Deny정책 이 정책에서는 새 리소스를 CMEK로 암호화해야 합니다.제약 조건 ID가
constraints/gcp.restrictCmekCryptoKeyProjects인 정책 이 정책은 암호화에 사용되는 Cloud Key Management Service 키를 제한합니다.
조직, 폴더 또는 프로젝트 수준에서 적용되는 조직 정책을 만들 수 있습니다. 자세한 내용은 정책 만들기 및 수정을 참고하세요.
관측 가능성 버킷의 기본 설정 정보
Google Cloud Observability는 프로젝트, 폴더 또는 조직에 적용되는 관측 가능성 버킷의 기본 설정을 제공합니다. 이러한 기본 설정은 조직 정책과 함께 작동하여 새 관측 가능성 버킷이 원하는 위치에 있고 지정한 암호화 모델을 사용하도록 합니다.
조직, 폴더, 프로젝트의 경우 모니터링 가능성 버킷의 기본 설정을 사용하면 다음을 구성할 수 있습니다.
- 기본 저장 위치
- 각 위치의 기본 Cloud Key Management Service 키입니다.
프로젝트에 대해 구성된 경우 이러한 설정은 해당 프로젝트에서 생성된 새 관측 가능성 버킷에만 적용됩니다. 폴더 또는 조직에 대해 구성된 경우 이러한 설정은 폴더 또는 조직의 하위 항목인 프로젝트에서 생성된 새 관측 가능성 버킷에 적용됩니다. 단, 기본 설정을 구성한 프로젝트는 예외입니다.
자세한 내용은 관측 가능성 버킷의 기본값 설정을 참고하세요.조직 정책과 기본 설정의 상호작용 방식
관측 가능성 버킷의 상위 항목은 프로젝트여야 합니다. 즉, 시스템은 폴더 또는 조직에 관측 가능성 버킷을 만들 수 없습니다. 하지만 조직 또는 폴더의 관측 가능성 버킷에 대한 기본 설정을 구성하면 해당 기본 설정이 해당 조직 또는 폴더의 하위 항목인 모든 프로젝트에 적용됩니다.
다음 표에는 시스템에서 새 관측 가능성 버킷의 위치를 결정하는 데 사용하는 규칙이 나열되어 있습니다.
| 조직 정책을 사용하여 위치 제한 |
프로젝트 (또는 상위 항목)에 기본 스토리지 위치가 있습니다. |
시스템에서 새 관측 가능성 버킷의 위치를 결정하는 방법 |
|---|---|---|
| 아니요 | 아니요 | 시스템은 관측 가능성 버킷에 지원되는 위치 중에서 위치를 선택합니다. |
| 예 | 아니요 | 시스템은 조직 정책에서 허용하는 위치와 관측 가능성 버킷에서 지원하는 위치의 교차점에서 위치를 선택합니다. 교집합이 비어 있으면 시스템에서 관측 가능성 버킷을 만들지 않습니다. |
| 아니요 | 예 | 시스템은 위치를 프로젝트의 기본 설정에 정의된 기본 스토리지 위치로 설정합니다. 프로젝트에서 기본 스토리지 위치를 정의하지 않으면 시스템에서 상위에 정의된 기본 스토리지 위치를 사용합니다. |
| 예 | 예 | 시스템은 위치를 프로젝트의 기본 설정에 정의된 기본 스토리지 위치로 설정합니다. 프로젝트에서 기본 스토리지 위치를 정의하지 않으면 시스템에서 상위 항목의 기본 스토리지 위치를 사용합니다. 조직 정책에서 기본 스토리지 위치를 허용하지 않으면 시스템에서 관측 가능성 버킷을 만들지 않습니다. |
다음 표에는 시스템에서 새 관측 가능성 버킷이 CMEK를 사용하는지 여부와 사용하는 경우 Cloud KMS 키의 값을 확인하는 데 사용하는 규칙이 나열되어 있습니다. 관측 가능성 버킷을 암호화하려면 Cloud KMS 키가 버킷 위치에 있어야 하며 조직 정책에서 허용해야 합니다. gcp.restrictCmekCryptoKeyProjects 제약 조건으로 조직 정책을 지정하지 않으면 모든 키가 허용됩니다.
| 조직 정책을 사용하여 CMEK 요구 |
프로젝트 (또는 상위 항목)에 기본 Cloud KMS 키가 있음 |
시스템에서 사용할 Cloud KMS 키를 결정하는 방법 |
|---|---|---|
| 아니요 | 아니요 | 모니터링 가능성 버킷은 CMEK를 사용하지 않습니다. |
| 예 | 아니요 | 조직 정책에 CMEK가 필요하지만 기본 Cloud KMS 키가 정의되어 있지 않으므로 시스템에서 새로운 관측 가능성 버킷을 만들지 않습니다. |
| 아니요 | 예 | 암호화 키를 식별하기 위해 시스템은 먼저 프로젝트 또는 상위 항목 중 하나에 기본 스토리지 위치가 설정되어 있는지 확인합니다. 그렇지 않으면 시스템에서 위치를 선택하고 모니터링 가능성 버킷을 만듭니다. 버킷이 CMEK를 사용하지 않습니다. 기본 스토리지 위치가 있으면 시스템은 프로젝트의 기본 설정에서 기본 Cloud KMS 키를 검색합니다. 프로젝트의 기본 설정에 적절한 키가 지정되어 있지 않으면 시스템은 새 버킷의 위치에 있는 기본 키를 상위 항목의 기본 설정에서 검색합니다. 다음 중 하나가 발생합니다.
|
| 예 | 예 | 암호화 키를 식별하기 위해 시스템은 먼저 프로젝트 또는 상위 항목 중 하나에 기본 스토리지 위치가 설정되어 있는지 확인합니다. 기본 스토리지 위치가 설정되지 않은 경우 시스템에서 새 모니터링 가능성 버킷을 생성하지 않습니다. 기본 스토리지 위치가 있으면 시스템은 프로젝트의 기본 설정에서 기본 Cloud KMS 키를 검색합니다. 프로젝트의 기본 설정에 적절한 키가 지정되어 있지 않으면 시스템은 새 버킷의 위치에 있는 기본 키를 상위 항목의 기본 설정에서 검색합니다. 다음 중 하나가 발생합니다.
|
제한사항
시스템에서 관측 가능성 버킷을 만들면 암호화 모델이 Google 기본 암호화 또는 고객 관리 암호화로 설정됩니다. 버킷이 있으면 암호화 모델을 변경할 수 없습니다.
다음 단계
관측 가능성 버킷의 기본값 설정에서는 관측 가능성 버킷의 기본 스토리지 위치와 기본 Cloud KMS 키를 설정하는 방법을 설명합니다.
Cloud Logging의 기본 리소스 설정 구성 및 Cloud Logging용 CMEK 구성에서는 로그 버킷의 기본 스토리지 위치와 기본 Cloud KMS 키를 설정하는 방법을 설명합니다.