이 페이지의 일부 또는 모든 정보는 Cloud de Confiance by S3NS에 적용되지 않을 수 있습니다. 자세한 내용은 Google Cloud와의 차이점을 참조하세요.

이 페이지는 Cloud Translation API를 통해 번역되었습니다.

고객 관리 암호화 키(CMEK)

이 문서에서는 고객 관리 암호화 키(CMEK)를 위해 Cloud Key Management Service(Cloud KMS)를 사용하는 방법을 간략하게 설명합니다. Cloud KMS CMEK를 사용하면Cloud de Confiance by S3NS에서 저장 데이터를 보호하는 키에 대한 소유권과 제어권이 부여됩니다.

CMEK와 Google Cloud-powered encryption keys비교

사용자가 만드는 Cloud KMS 키는 고객 관리 키입니다. 사용자 키를 사용하는Cloud de Confiance 서비스는 CMEK 통합을 사용한다고 말합니다. Cloud de Confiance의 기본 저장 데이터 암호화와 고객 관리 키의 차이점은 다음과 같습니다.

키 유형	고객 관리	Google Cloud-powered encryption key (Google 기본 암호화)
키 메타데이터를 볼 수 있음	예	아니요
키 소유권¹	고객	Google
키³를 관리하고² 제어할 수 있음	고객, 수동 제어만	Google
고객 관리 키에 대한 규제 요구사항 지원	예	아니요
키 공유	고객별로 고유	여러 고객의 데이터는 일반적으로 공유 키 암호화 키 (KEK)로 보호됩니다.
키 순환 제어	예	아니요
CMEK 조직 정책	예	아니요
암호화 키에 대한 관리 및 데이터 액세스 로깅	예	아니요
암호화를 통한 논리적 데이터 분리	예	아니요
가격 책정	보호 수준에 따라 다름	무료

¹ 키 소유자는 키에 대한 권리를 보유한 사람을 나타냅니다. 내가 소유한 키는 Google 액세스가 엄격하게 제한되거나 차단됩니다.

² 키 관리에는 다음과 같은 작업이 포함됩니다.

키를 만듭니다.
키의 보호 수준을 선택합니다.
키 관리 권한을 할당합니다.
키에 대한 액세스를 제어합니다.
키 사용을 제어합니다.
키 순환 기간을 설정 및 수정하거나 키 순환을 트리거합니다.
키 상태를 변경합니다.
키 버전을 폐기합니다.

³ 키 제어는 키 종류 및 키 사용 방법에 대한 제어 수단을 설정하고, 편차를 감지하고, 필요한 경우 시정 조치를 계획하는 것을 의미합니다. 키를 제어할 수 있지만 키 관리는 서드 파티에 위임할 수 있습니다.

Google Cloud-powered encryption keys의 기본 암호화

Cloud de Confiance 내에 저장된 모든 데이터는 Cloud de Confiance 이 암호화된 자체 데이터에 사용하는 것과 동일한 강화된 키 관리 시스템을 사용하여 저장 상태에서 암호화됩니다. 이러한 키 관리 시스템은 엄격한 키 액세스 제어 및 감사 기능을 제공하며 AES-256 암호화 표준을 사용하여 사용자 저장 데이터를 암호화합니다. Cloud de Confiance 는 데이터를 암호화하는 데 사용되는 키를 소유하고 제어합니다. 사용자는 이러한 키를 보거나 관리하거나 키 사용량 로그를 검토할 수 없습니다. 여러 고객의 데이터에서 동일한 키 암호화 키 (KEK)를 사용할 수 있습니다. 설정, 구성 또는 관리가 필요하지 않습니다.

고객 관리 암호화 키(CMEK)

고객 관리 암호화 키는 사용자가 소유한 암호화 키입니다. 이 기능을 사용하면 지원되는 Cloud de Confiance 서비스 내에서 저장 데이터를 암호화하는 데 사용되는 키를 보다 효과적으로 제어할 수 있으며 데이터 주위에 암호화 경계를 제공할 수 있습니다.

CMEK를 지원하는 서비스에는 CMEK 통합이 있습니다. CMEK 통합은Cloud de Confiance의 기본 암호화 대신 사용할 수 있는 서버 측 암호화 기술입니다. CMEK가 설정된 후에는 리소스 서비스 에이전트가 리소스를 암호화 및 복호화하는 작업을 처리합니다. CMEK 통합 서비스는 암호화된 리소스에 대한 액세스를 처리하므로 최종 사용자의 개입 없이 암호화 및 복호화를 투명하게 수행할 수 있습니다. 리소스 액세스 환경은 Cloud de Confiance의 기본 암호화를 사용할 때와 비슷합니다. CMEK 통합에 대한 자세한 내용은 CMEK 통합 서비스의 기능을 참고하세요.

각 키에 무제한 키 버전을 사용할 수 있습니다.

서비스가 CMEK를 지원하는지 여부를 알아보려면 지원되는 서비스 목록을 참조하세요.

Cloud KMS를 사용하면 키 버전 수와 이러한 키 버전을 사용한 암호화 작업과 관련된 비용이 발생합니다.

고객 관리 암호화 키를 사용해야 하는 경우

호환되는 서비스에서 CMEK를 사용하면 다음 목표를 달성하는 데 도움이 됩니다.

암호화 키를 소유합니다.
암호화 키의 위치 선택, 보호 수준, 생성, 액세스 제어, 순환, 사용, 폐기 등을 제어하고 관리합니다.
Cloud KMS에서 키 자료를 생성하거나 Cloud de Confiance외부에서 유지보수되는 키 자료를 가져옵니다.
키를 사용해야 하는 위치와 관련된 정책을 설정합니다.
오프보딩 시 키로 보호되는 데이터를 선택적으로 삭제하거나 보안 이벤트(암호화 파쇄)를 해결합니다.
고객별로 고유한 키를 만들어서 사용하고 데이터에 대한 암호화 경계를 설정합니다.
암호화 키에 대한 관리 및 데이터 액세스를 로깅합니다.
이러한 목표를 요구하는 현재 또는 미래의 규정을 준수합니다.

CMEK 통합 서비스의 기능

Cloud de Confiance의 기본 암호화와 마찬가지로 CMEK는 고객 데이터의 서버 측 대칭 봉투 암호화입니다. Cloud de Confiance의 기본 암호화와의 차이점은 CMEK 보호는 고객이 제어하는 키를 사용한다는 것입니다.

CMEK 통합을 사용하는 클라우드 서비스는 사용자가 Cloud KMS에서 만든 키를 사용하여 리소스를 보호합니다.
Cloud KMS와 통합된 서비스는 대칭 암호화를 사용합니다.
키의 보호 수준을 선택합니다.
모든 키는 256비트 AES-GCM입니다.
키 자료는 Cloud KMS 시스템 경계를 벗어나지 않습니다.
대칭 키는 봉투 암호화 모델에서 암호화 및 복호화하는 데 사용됩니다.

리소스 액세스를 처리하는 CMEK 통합 서비스

CMEK 통합 서비스에서 리소스를 만들거나 보는 주 구성원에게는 리소스를 보호하는 데 사용되는 CMEK에 Cloud KMS CryptoKey 암호화/복호화(roles/cloudkms.cryptoKeyEncrypterDecrypter)가 필요하지 않습니다.

각 프로젝트 리소스에는 고객 관리 키를 사용하여 암호화 및 복호화를 수행하는 서비스 에이전트라는 특수한 서비스 계정이 있습니다. CMEK에 대한 액세스 권한을 서비스 에이전트에 부여하면 서비스 에이전트가 해당 키를 사용하여 사용자가 선택한 리소스를 보호합니다.

요청자가 고객 관리 키로 암호화된 리소스에 액세스하려고 하면 서비스 에이전트가 요청된 리소스의 복호화를 자동으로 시도합니다. 서비스 에이전트가 키를 사용하여 복호화할 권한을 가지고 있고, 사용자가 키를 사용 중지하거나 폐기하지 않은 경우 서비스 에이전트는 키 암호화 및 복호화 기능을 제공합니다. 그렇지 않으면 요청이 실패합니다.

추가 요청자 액세스는 필요하지 않으며, 서비스 에이전트가 백그라운드에서 암호화와 복호화를 처리하므로 리소스 액세스를 위한 사용자 환경은 Cloud de Confiance의 기본 암호화를 사용하는 것과 유사합니다.

CMEK 계획 및 생성

CMEK를 사용할 때는 보호된 리소스를 만들기 전에 키링, 키, 리소스 위치를 계획하고 만들어야 합니다. 그런 다음 키를 사용하여 리소스를 보호할 수 있습니다.

CMEK를 사용 설정하는 정확한 단계는 관련Cloud de Confiance 서비스에 대한 문서를 참고하세요. GKE와 같은 일부 서비스에는 서비스와 관련된 다양한 유형의 데이터를 보호하기 위한 여러 CMEK 통합이 있습니다. 다음과 유사한 단계를 따를 것으로 예상할 수 있습니다.

Cloud KMS 키링을 만들거나 기존 키링을 선택합니다. 키링을 만들 때는 보호 대상 리소스와 지리적으로 가까운 위치를 선택합니다. 키링은 보호하는 리소스와 동일한 프로젝트 또는 다른 프로젝트에 있을 수 있습니다. 다른 프로젝트를 사용하면 IAM 역할을 보다 효과적으로 제어할 수 있으며 업무 분리를 지원하는 데 도움이 됩니다.
선택한 키링에 Cloud KMS 키를 만들거나 가져옵니다. 이 키가 CMEK입니다.
CMEK의 CryptoKey Encrypter/Decrypter IAM 역할(roles/cloudkms.cryptoKeyEncrypterDecrypter)을 해당 서비스의 서비스 계정에 부여합니다.
리소스를 만들 때 CMEK를 사용하도록 리소스를 구성합니다. 예를 들어 테이블의 비활성 데이터를 보호하도록 BigQuery 테이블을 구성할 수 있습니다.

요청자가 데이터에 액세스하기 위해 CMEK에 직접 액세스할 필요는 없습니다.

서비스 에이전트에 CryptoKey 암호화/복호화 역할이 있는 경우 서비스는 해당 데이터를 암호화하고 복호화할 수 있습니다. 이 역할을 취소하거나 CMEK를 사용 중지하거나 폐기하면 해당 데이터에 액세스할 수 없습니다.

CMEK 규정 준수

일부 서비스는 CMEK 통합을 사용하며 사용자는 이를 통해 키를 직접 관리할 수 있습니다. 일부 서비스는 대신 CMEK 규정 준수를 제공하므로 임시 데이터와 임시 키가 디스크에 기록되지 않습니다. 통합 및 호환 서비스의 전체 목록은 CMEK 호환 서비스를 참조하세요.

CMEK 조직 정책

Cloud de Confiance 는 조직 리소스 전체에서 일관된 CMEK 사용을 보장하기 위해 조직 정책 제약조건을 제공합니다. 이러한 제약조건은 CMEK 사용을 요구하고 CMEK 보호에 사용되는 Cloud KMS 키를 제한 및 제어할 수 있는 다음과 같은 제어 기능을 조직 관리자에게 제공합니다.

CMEK 보호를 위해 사용되는 Cloud KMS 키의 한도
허용되는 키 보호 수준의 한도
CMEK 위치의 제한사항
키 버전 폐기 제어

다음 단계

CMEK 통합을 사용하는 서비스 목록을 참조하세요.
CMEK 호환 서비스 목록을 참고하세요.
Autokey에서 지원하는 서비스 목록을 참조하세요.