기본적으로 Cloud Workstations는 저장된 고객 콘텐츠를 암호화합니다. Cloud Workstations는 사용자의 추가 작업 없이 자동으로 암호화를 처리합니다. 이 옵션을 Google 기본 암호화라고 합니다.
암호화 키를 제어하려면 Cloud Workstations를 포함한 CMEK 통합 서비스와 함께 Cloud KMS에서 고객 관리 암호화 키(CMEK)를 사용하면 됩니다. Cloud KMS 키를 사용하면 보호 수준, 위치, 순환 일정, 사용 및 액세스 권한, 암호화 경계를 관리할 수 있습니다. Cloud KMS를 사용하면 키 사용을 추적하고 감사 로그를 보며 키 수명 주기를 제어할 수도 있습니다. Google에서 데이터를 보호하는 대칭 키 암호화 키(KEK)를 소유하고 관리하는 대신 사용자가 Cloud KMS에서 이러한 키를 제어하고 관리할 수 있습니다.
CMEK로 리소스를 설정한 후 Cloud Workstations 리소스에 액세스하는 환경은 Google 기본 암호화를 사용하는 것과 유사합니다. 암호화 옵션에 대한 자세한 내용은 고객 관리 암호화 키(CMEK)를 참조하세요.
기본적으로 Cloud Workstations는 데이터가 저장 중일 때 Google-owned and Google-managed encryption key를 사용하여 VM 및 영구 디스크와 같은 워크스테이션 리소스를 암호화합니다. 데이터 보호 키와 관련된 특정 규정 준수 또는 규제 요구사항이 있으면 Cloud Key Management Service(Cloud KMS)를 사용하는 고객 관리 암호화 키(CMEK)를 사용할 수 있습니다.
CMEK를 사용 설정하는 시기와 이유를 포함한 일반적인 CMEK에 대한 자세한 내용은 Cloud KMS 문서를 참고하세요.
시작하기 전에
프로젝트 만들기
Google Cloud 콘솔의 프로젝트 선택기 페이지에서 다음 Google Cloud프로젝트를 선택하거나 만듭니다.
키 프로젝트에는 키링과 대칭 암호화 키를 비롯한 Cloud KMS 리소스가 포함됩니다.
워크스테이션 프로젝트에는 CMEK 키로 암호화된 워크스테이션이 포함됩니다.
키 프로젝트와 워크스테이션 프로젝트에 동일한 프로젝트를 사용할 수 있지만 업무 분장을 위해 2개의 프로젝트를 사용하는 것이 좋습니다.
Cloud 프로젝트에 결제가 사용 설정되어 있는지 확인합니다. 자세한 내용은 프로젝트의 결제 상태 확인을 참고하세요.
각 프로젝트에 필요한 API를 사용 설정합니다.
키 프로젝트에서 Cloud KMS API를 사용 설정했는지 확인합니다.
워크스테이션 프로젝트에서 Cloud KMS 및 Cloud Workstations API를 사용 설정했는지 확인합니다.
gcloudCLI를 설치하고 초기화합니다.gcloudCLI를 설치하려면gcloudCLI 설치를 참고하여 운영체제에 맞는 안내를 따르세요.gcloudCLI를 초기화하려면gcloudCLI 초기화를 참고하거나 다음 명령어를 실행하세요.gcloud init
필요한 역할
Cloud KMS 관리자 및 Cloud Workstations 관리자 역할을 동일한 사람에게 부여할 수 있지만 역할을 할당할 때는 최소 권한의 원칙을 따르는 것이 좋습니다. Cloud KMS 관리자에게 Cloud Workstations 관리자 역할도 수행하도록 요청하는 대신 권장사항에 따라 역할을 2명의 개별 사용자에게 부여하고 서로 협력하도록 지정합니다. 자세한 내용은 보안 권장사항 및 안전하게 IAM 사용을 참고하세요.
CMEK를 설정하는 데 필요한 권한을 얻으려면 관리자에게 다음 IAM 역할을 부여해 달라고 요청하세요.
-
Cloud KMS 관리자인 경우 Cloud KMS 리소스를 만들고 관리할 수 있도록 관리자에게 키 프로젝트에 대해 Cloud KMS 관리자 (
roles/cloudkms.admin) 역할을 부여해 달라고 요청합니다. -
Cloud Workstations 관리자인 경우 워크스테이션을 만들고 업데이트할 수 있도록 관리자에게 워크스테이션 프로젝트에 대한 Cloud Workstations 관리자 (
roles/workstations.admin) 역할을 부여해 달라고 요청하세요.
역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.
커스텀 역할이나 다른 사전 정의된 역할을 통해 필요한 권한을 얻을 수도 있습니다.
키링 및 암호화 키 만들기
키 프로젝트에서 키를 만들고 키의 리소스 ID를 저장합니다.
키링을 만들거나 선택합니다.
키링은 워크스테이션 클러스터와 동일한 리전에 있어야 합니다. Cloud Workstations는 멀티 리전 또는 전역 Cloud KMS 위치를 지원하지 않습니다.
서비스 간에 키링을 공유할 수 있지만 권장사항에 따라 각 보호 리소스에 대해 서로 다른 키를 사용하는 것이 좋습니다. 업무 분장을 참고하세요.
대칭 암호화 키를 만듭니다.
키의 리소스 ID를 가져오고 이후 단계를 위해 이를 저장합니다.
암호화 키에 대한 액세스 권한 부여
Cloud Workstations는 다음 서비스 계정을 사용하여 리소스 암호화를 관리합니다.
Cloud Workstations 서비스 에이전트: Cloud Workstations는 이 계정을 사용하여 키가 순환되는 시점을 감지합니다.
Cloud KMS 키 서비스 계정: Cloud Workstations에서 리소스를 암호화하고 복호화하는 데 사용할 수 있는 키에 액세스할 수 있는 서비스 계정을 제공합니다.
Cloud Workstations 서비스 에이전트에 Cloud KMS 뷰어 역할 부여
Cloud Workstations 서비스 에이전트를 사용하면 Cloud Workstations가 프로젝트에서 서비스 의무를 수행할 수 있습니다. 워크스테이션 프로젝트에서 Cloud Workstations 서비스를 활성화하면 이 서비스 에이전트가 자동으로 생성되었습니다. CMEK가 제대로 작동하려면 Cloud Workstations에서 키 순환을 감지할 수 있도록 워크스테이션 프로젝트의 Cloud Workstations 서비스 에이전트에 Cloud KMS 키에 대한
Cloud KMS 뷰어 역할(roles/cloudkms.viewer)을 부여해야 합니다.
워크스테이션 프로젝트의 Cloud Workstations 서비스 에이전트를 검색하려면 다음 명령어를 사용합니다.
gcloud beta services identity create \ --service=workstations.googleapis.com \ --project=WORKSTATIONS_PROJECT_IDWORKSTATIONS_PROJECT_ID를 워크스테이션 프로젝트의 ID로 바꿉니다.Cloud Workstations 서비스 에이전트는
service-$WORKSTATIONS_PROJECT_NUMBER@gcp-sa-workstations.iam.gserviceaccount.com형식을 사용합니다.Cloud Workstations 서비스 에이전트에 CMEK 키에 대한 Cloud KMS 뷰어 역할(
roles/cloudkms.viewer)을 부여합니다. 그러면 Cloud Workstations에서 키 순환을 감지하고 프로젝트에서 필요한 만큼 리소스를 다시 암호화합니다.gcloud kms keys add-iam-policy-binding \ KEY_NAME \ --keyring=KEY_RING \ --location=LOCATION \ --project=KMS_PROJECT_ID \ --role=roles/cloudkms.viewer \ --member=CLOUD_WORKSTATIONS_SERVICE_AGENT다음을 바꿉니다.
KEY_NAME: 키의 이름입니다.KEY_RING: 키링의 이름입니다.LOCATION: 키링이 포함된 위치입니다.KMS_PROJECT_ID: 키가 포함된 프로젝트의 ID입니다.CLOUD_WORKSTATIONS_SERVICE_AGENT: 이전 단계에서 가져온 Cloud Workstations 서비스 에이전트입니다.
모든 플래그 및 가능한 값에 대한 정보를 보려면
--help플래그와 함께 명령어를 실행하세요.
Cloud KMS 키 서비스 계정 설정
Cloud Workstations는 선택한 서비스 계정을 사용하여 고객 관리 키로 암호화 및 복호화를 실행합니다. 이 계정을 Cloud KMS 키 서비스 계정이라고 합니다. 새 서비스 계정을 만들거나 기존 계정을 사용할 수 있습니다. 이 계정의 요구사항은 다음과 같습니다.
- Cloud Workstations 관리자에게 이 서비스 계정에 대한
iam.serviceAccounts.actAs권한이 있어야 합니다. - 선택한 서비스 계정에는 Cloud KMS 키에 대한 Cloud KMS CryptoKey 암호화/복호화 역할(
roles/cloudkms.cryptoKeyEncrypterDecrypter)이 있어야 합니다.
새 서비스 계정을 만들려면 다음 명령어를 사용하세요.
gcloud iam service-accounts create \ KMS_KEY_SERVICE_ACCOUNT_NAME \ --display-name="Service account for Cloud Workstations CMEK" \ --project=WORKSTATIONS_PROJECT_ID다음을 바꿉니다.
KMS_KEY_SERVICE_ACCOUNT_NAME: 서비스 계정의 이름입니다.WORKSTATIONS_PROJECT_ID: 워크스테이션 프로젝트의 ID입니다.
생성한 서비스 계정의 이메일은
KMS_KEY_SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com형식입니다.이후 단계를 위해 서비스 계정의 이메일을 저장합니다.
Cloud KMS 키 서비스 계정에 Cloud Workstations 관리자 IAM 서비스 계정 사용자 역할(
roles/iam.serviceAccountUser)을 부여하려면 다음 명령어를 실행하세요.gcloud iam service-accounts add-iam-policy-binding \ KMS_KEY_SERVICE_ACCOUNT_EMAIL \ --member="user:CLOUD_WORKSTATIONS_ADMIN_EMAIL" \ --project=WORKSTATIONS_PROJECT_ID \ --role=roles/iam.serviceAccountUser다음을 바꿉니다.
KMS_KEY_SERVICE_ACCOUNT_EMAIL: Cloud KMS 키 서비스 계정의 이메일입니다.CLOUD_WORKSTATIONS_ADMIN_EMAIL: Cloud Workstations 관리자의 이메일입니다.WORKSTATIONS_PROJECT_ID: 워크스테이션 프로젝트의 ID입니다.
Cloud KMS 키에 Cloud KMS 키 서비스 계정 Cloud KMS CryptoKey 암호화/복호화 역할(
roles/cloudkms.cryptoKeyEncrypterDecrypter)을 부여하려면 다음 명령어를 실행하세요.gcloud kms keys add-iam-policy-binding \ KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --project KMS_PROJECT_ID \ --role roles/cloudkms.cryptoKeyEncrypterDecrypter \ --member serviceAccount:KMS_KEY_SERVICE_ACCOUNT_EMAIL\다음을 바꿉니다.
KEY_NAME: 키의 이름입니다.KEY_RING: 키링의 이름입니다.LOCATION: 키링이 포함된 위치입니다.KMS_PROJECT_ID: 키가 포함된 프로젝트의 ID입니다.KMS_KEY_SERVICE_ACCOUNT_EMAIL: Cloud KMS 키 서비스 계정의 이메일입니다.
모든 플래그 및 가능한 값에 대한 정보를 보려면
--help플래그와 함께 명령어를 실행하세요.
워크스테이션 클러스터 확인
Google Cloud 콘솔에 사용 가능한 워크스테이션 클러스터가 없으면 Cloud Workstations 관리자에게 Cloud KMS 키링과 동일한 리전에 워크스테이션 클러스터를 만들도록 요청합니다. 또는 리소스를 직접 만들 수 있도록 프로젝트에 대해 Cloud Workstations 관리자 IAM 역할이 있는지 확인합니다.
고객 관리 암호화 키 사용
워크스테이션 클러스터를 아직 만들지 않았으면 clusters create
gcloudCLI 명령어를 사용하여 만듭니다.gcloud workstations clusters create \ WORKSTATIONS_CLUSTER_NAME --region=LOCATION \ --project=WORKSTATIONS_PROJECT_ID다음을 바꿉니다.
WORKSTATIONS_CLUSTER_NAME: 워크스테이션 클러스터의 이름입니다.LOCATION: 워크스테이션 클러스터의 리전 이름입니다.WORKSTATIONS_PROJECT_ID: 워크스테이션 프로젝트의 ID입니다.
encryption_key설정을 사용하여 워크스테이션 구성을 만듭니다.머신 유형
e2-standard-2, 유휴 상태 제한 시간3600s, CMEK 암호화된 워크스테이션 리소스를 사용해서 워크스테이션 구성을 만들려면 다음gcloudCLI 명령어를 실행합니다.gcloud workstations configs create WORKSTATIONS_CONFIG_NAME \ --cluster=WORKSTATIONS_CLUSTER_NAME \ --region=LOCATION \ --machine-type="e2-standard-2" \ --idle-timeout=3600 \ --kms-key="projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME" \ --kms-key-service-account="KMS_KEY_SERVICE_ACCOUNT_EMAIL" \ --project=WORKSTATIONS_PROJECT_ID다음을 바꿉니다.
WORKSTATIONS_CONFIG_NAME: 워크스테이션 구성의 이름입니다.WORKSTATIONS_CLUSTER_NAME: 워크스테이션 클러스터의 이름입니다.LOCATION: 클러스터의 리전 이름입니다.KMS_PROJECT_ID: 프로젝트 ID, Google Cloud에서 프로젝트를 다른 모든 프로젝트와 구분하는 데 사용되는 고유한 문자열입니다.KEY_RING: 키링의 이름입니다.KEY_NAME: 키의 이름입니다.KMS_KEY_SERVICE_ACCOUNT_EMAIL: Cloud KMS 키 서비스 계정의 이메일입니다.WORKSTATIONS_PROJECT_ID: 워크스테이션 프로젝트의 ID입니다.
워크스테이션 구성을 만든 후 Cloud KMS가 프로젝트의 영구 디스크를 지정된 Cloud KMS 키를 사용해서 암호화합니다.
고객 관리 암호화 키 순환
Cloud Workstations 서비스 에이전트에 CMEK 키에 대한 Cloud KMS 뷰어 역할(roles/cloudkms.viewer)을 부여하면 워크스테이션 서비스에서 키 순환을 감지하고 새 기본 키 버전을 사용하여 홈 디스크를 다시 암호화할 수 있습니다.
워크스테이션을 중지하면 다시 암호화가 수행됩니다. 암호화된 워크스테이션을 중지할 때마다 워크스테이션 서비스는 키가 순환되었는지 확인합니다. 키가 순환된 경우 워크스테이션 서비스는 워크스테이션 홈 디스크 스냅샷을 만들고 디스크를 삭제합니다. 다음에 워크스테이션을 시작하면 워크스테이션 서비스는 새 기본 키 버전을 사용하여 스냅샷에서 새 디스크를 만듭니다.
Cloud KMS 할당량 및 Cloud Workstations
Cloud Workstations에서 CMEK를 사용할 때 프로젝트는 Cloud KMS 암호화 요청 할당량을 사용할 수 있습니다. 예를 들어 CMEK로 암호화된 저장소는 각 업로드 또는 다운로드에 대해 이 할당량을 사용할 수 있습니다. CMEK 키를 사용하는 암호화 및 복호화 작업은 하드웨어 (Cloud HSM) 또는 외부(Cloud EKM) 키를 사용하는 경우에만 Cloud KMS 할당량에 영향을 미칩니다. 자세한 내용은 Cloud KMS 할당량을 참고하세요.
외부 키
Cloud 외부 키 관리자(Cloud EKM)를 사용하여 관리하는 외부 키를 통해Google Cloud 내 데이터를 암호화할 수 있습니다.
Cloud EKM 키를 사용하는 경우 Google은 외부 관리 키의 가용성을 제어 할 수 없습니다. 키를 사용할 수 없으면 워크스테이션을 시작할 수 없습니다.
외부 키 사용 시 고려사항은 Cloud 외부 키 관리자를 참고하세요.
다음 단계
- 고객 관리 암호화 키 알아보기
- 암호화란 무엇인가요? 알아보기