고객 관리 암호화 키(CMEK)로 TPU VM 부팅 디스크 암호화

기본적으로 Cloud TPU는 저장 중인 고객 콘텐츠를 암호화합니다. Cloud TPU는 사용자가 추가 작업을 하지 않고도 암호화를 자동 처리합니다. 이 옵션을 Google 기본 암호화라고 합니다.

암호화 키를 제어하려면 Cloud KMS에서 Cloud TPU가 포함된 고객 관리 암호화 키(CMEK) 통합 서비스와 함께 CMEK를 사용하면 됩니다. Cloud KMS 키를 사용하면 보호 수준, 위치, 순환 일정, 사용 및 액세스 권한, 암호화 경계를 관리할 수 있습니다. Cloud KMS를 사용하면 감사 로그를 보고 키 수명 주기를 제어할 수도 있습니다. Google에서 데이터를 보호하는 대칭 키 암호화 키(KEK)를 소유하고 관리하는 대신 개발자가 Cloud KMS에서 이러한 키를 제어하고 관리할 수 있습니다.

CMEK로 리소스를 설정한 후 Cloud TPU 리소스에 액세스하는 방법은 Google 기본 암호화를 사용한 액세스와 유사합니다. 암호화 옵션에 대한 자세한 내용은 고객 관리 암호화 키(CMEK)를 참조하세요.

CMEK를 사용하려면 키링을 만들어야 합니다. Cloud TPU를 만들려는 위치와 동일한 위치에 키링을 만들어야 합니다. 예를 들어 us-central1-a 영역의 Cloud TPU는 us-central1 리전에 있는 키만 사용할 수 있습니다.

다음으로 키링에 키를 만듭니다. CMEK를 만든 후에는 Compute Engine 서비스 계정에 키에 대한 액세스 권한을 부여해야 합니다.

키 사용 권한 부여

Google Cloud 프로젝트의 Compute Engine 서비스 에이전트에 Cloud KMS 키에 대한 Cloud KMS CryptoKey 암호화/복호화(roles/cloudkms.cryptoKeyEncrypterDecrypter) IAM 역할을 부여해야 합니다. 이 역할을 부여하면 Compute Engine 서비스에서 암호화 키에 액세스하여 암호화 키를 사용할 수 있습니다.

Compute Engine 서비스 에이전트에 roles/cloudkms.cryptoKeyEncrypterDecrypter 역할을 부여하려면 다음 옵션 중 하나를 선택합니다.

gcloud

다음 명령어를 실행합니다.

gcloud kms keys add-iam-policy-binding KEY_NAME \
    --location LOCATION \
    --keyring RING_NAME \
    --member serviceAccount:service-PROJECT_NUMBER@compute-system.iam.gserviceaccount.com \
    --role roles/cloudkms.cryptoKeyEncrypterDecrypter \
    --project KEY_PROJECT_ID

다음을 바꿉니다.

  • KEY_NAME: 키 이름
  • LOCATION: 키링을 만든 위치
  • RING_NAME: 키링 이름
  • PROJECT_NUMBER: Google Cloud 프로젝트 번호
  • KEY_PROJECT_ID: 키 프로젝트 ID

콘솔

  1. Google Cloud 콘솔에서 키 관리 페이지로 이동합니다.

    키 관리로 이동

  2. 키가 포함된 키링의 이름을 클릭합니다.

  3. 수정하려는 키의 이름을 클릭합니다.

  4. 권한 탭을 클릭합니다.

  5. 액세스 권한 부여를 클릭합니다. 키에 대한 액세스 권한 부여 창이 열립니다.

  6. 새 주 구성원 필드에 Compute Engine 서비스 에이전트 이름을 입력합니다.

    service-PROJECT_NUMBER@compute-system.iam.gserviceaccount.com

    PROJECT_NUMBER를 Google Cloud프로젝트 번호로 바꿉니다.

  7. 역할 선택 메뉴에서 Cloud KMS CryptoKey 암호화/복호화를 선택합니다.

  8. 저장을 클릭합니다.

CMEK로 TPU VM 만들기

TPU API 또는 Queued Resources API를 사용하여 TPU VM을 만들 때 CMEK를 지정할 수 있습니다.

TPU API

Cloud TPU API를 사용하여 TPU VM을 만들 때 CMEK를 지정하려면 tpu-vm create 명령어에 대한 --boot-disk 인수를 사용하여 사용할 암호화 키를 지정합니다.

gcloud compute tpus tpu-vm create TPU_NAME \
    --zone ZONE \
    --boot-disk kms-key=projects/PROJECT_ID/locations/REGION/keyRings/RING_NAME/cryptoKeys/KEY_NAME \
    --version=TPU_RUNTIME_VERSION \
    --accelerator-type=ACCLERATOR_TYPE

다음을 바꿉니다.

  • TPU_NAME: TPU VM 이름
  • ZONE: Cloud TPU를 만들려는 영역
  • PROJECT_ID: Google Cloud 프로젝트 ID
  • REGION: 키링을 만든 리전
  • RING_NAME: 키링 이름
  • KEY_NAME: 키 이름
  • TPU_RUNTIME_VERSION: Cloud TPU 소프트웨어 버전
  • ACCELERATOR_TYPE: 만들려는 Cloud TPU의 액셀러레이터 유형. TPU 버전마다 지원되는 액셀러레이터 유형에 대한 자세한 내용은 TPU 버전을 참조하세요.

Queued Resources API

Queued Resources API를 사용하여 TPU VM을 만들 때 CMEK를 지정하려면 queued-resources create 명령어에 대한 --bootdisk 인수를 사용하여 사용할 암호화 키를 지정합니다.

gcloud compute tpus queued-resources create QUEUED_RESOURCE_ID \
    --zone ZONE \
    --node-id NODE_ID \
    --boot-disk kms-key=projects/PROJECT_ID/locations/REGION/keyRings/RING_NAME/cryptoKeys/KEY_NAME \
    --runtime-version=TPU_RUNTIME_VERSION \
    --accelerator-type=ACCLERATOR_TYPE

다음을 바꿉니다.

  • QUEUED_RESOURCE_ID: 큐에 추가된 리소스 요청의 사용자 할당 ID
  • ZONE: Cloud TPU를 만들려는 영역
  • NODE_ID: 큐에 추가된 리소스 요청이 할당될 때 생성되는 Cloud TPU의 사용자 할당 ID
  • PROJECT_ID: Google Cloud 프로젝트 ID
  • REGION: 키링을 만든 리전
  • RING_NAME: 키링 이름
  • KEY_NAME: 키 이름
  • TPU_RUNTIME_VERSION: Cloud TPU 소프트웨어 버전
  • ACCELERATOR_TYPE: 만들려는 Cloud TPU의 액셀러레이터 유형. TPU 버전마다 지원되는 액셀러레이터 유형에 대한 자세한 내용은 TPU 버전을 참조하세요.

GKE를 사용하여 CMEK로 TPU VM을 만드는 방법에 대한 자세한 내용은 GKE 문서의 고객 관리 암호화 키 사용을 참조하세요.

삭제되거나 취소된 CMEK

CMEK가 취소되거나 삭제되면 삭제되거나 취소된 CMEK로 암호화된 부팅 디스크를 사용하는 TPU VM은 자동으로 종료되지 않습니다. TPU VM은 VM이 종료되거나 다시 시작될 때까지 암호화된 부팅 디스크의 데이터에 계속 액세스할 수 있습니다. 이를 통해 취소되거나 삭제된 키에 대한 액세스 권한을 복원하는 경우 데이터를 복구할 수 있습니다. 키를 다시 사용 설정하면 TPU VM을 시작하거나 복구할 수 있으며 부팅 디스크가 성공적으로 복호화되고 로드됩니다.