이 페이지의 일부 또는 모든 정보는 S3NS의 Cloud de Confiance에 적용되지 않을 수 있습니다. 자세한 내용은 Google Cloud와의 차이점을 참조하세요.

Cloud de Confiance에서 Cloud KMS 키 사용

이 페이지에서는 다른 Cloud de Confiance 서비스에서 Cloud KMS 고객 관리 암호화 키를 사용하여 리소스를 보호하는 방법을 설명합니다. 자세한 내용은 고객 관리 암호화 키 (CMEK)를 참고하세요.

서비스가 CMEK를 지원하면 CMEK 통합을 가진다고 지칭합니다. GKE와 같은 일부 서비스에는 서비스와 관련된 다양한 유형의 데이터를 보호하기 위한 여러 CMEK 통합이 있습니다. CMEK 통합을 사용하는 서비스 목록은 이 페이지의 지원되는 서비스에 CMEK 사용 설정을 참조하세요.

시작하기 전에

다른 Cloud de Confiance 서비스에서 Cloud KMS 키를 사용하려면 Cloud KMS 키를 포함할 프로젝트 리소스가 있어야 합니다. 다른 Cloud de Confiance 리소스가 포함되지 않은 Cloud KMS 리소스에 대해 개별 프로젝트를 사용하는 것이 좋습니다.

CMEK 통합

CMEK 통합 사용 설정 준비

CMEK를 사용 설정하는 정확한 단계는 관련Cloud de Confiance 서비스에 대한 문서를 참고하세요. 이 페이지의 지원되는 서비스에 CMEK 사용 설정에서 각 서비스의 CMEK 문서 링크를 찾을 수 있습니다. 각 서비스에서 다음과 비슷한 단계를 따라야 합니다.

키링을 만들거나 기존 키링을 선택합니다. 키링은 보호하려는 리소스와 최대한 지리적으로 가깝게 배치되어야 합니다.
선택한 키링에서 키를 만들거나 기존 키를 선택합니다. 키의 보호 수준, 목적, 알고리즘이 보호하려는 리소스에 적합한지 확인합니다. 이 키가 CMEK 키입니다.
CMEK 키의 리소스 ID를 가져옵니다. 이후에 이 리소스 ID가 필요합니다.
CMEK 키의 CryptoKey Encrypter/Decrypter IAM 역할(roles/cloudkms.cryptoKeyEncrypterDecrypter)을 해당 서비스의 서비스 계정에 부여합니다.

참고: 키, 키링, 프로젝트, 폴더 또는 조직 수준에서 Cloud KMS CryptoKey 암호화/복호화 역할을 부여할 수 있습니다. 최소 권한의 원칙을 따르려면 요구사항을 충족하는 가장 낮은 수준에서 이 역할을 부여하는 것이 좋습니다.
주의: 서비스 계정에 Cloud KMS CryptoKey 암호화/복호화 역할이 있으면 서비스는 데이터를 암호화 및 복호화할 수 있습니다. 역할을 취소하거나 CMEK 키를 사용 중지하거나 폐기하면 해당 데이터에 액세스할 수 없습니다. CMEK 키를 액세스 불가 상태로 두면 서비스에 영향을 줄 수 있습니다.

키를 만들고 필요한 권한을 할당한 후에는 CMEK 키를 사용하도록 서비스를 만들거나 구성할 수 있습니다.

CMEK 통합 서비스에서 Cloud KMS 키 사용

다음 단계에서는 Secret Manager를 예시로 사용합니다. 특정 서비스에서 Cloud KMS CMEK 키를 사용하는 정확한 단계는 CMEK 통합 서비스 목록에서 해당 서비스를 찾으세요.

Secret Manager에서 CMEK를 사용하여 저장 데이터를 보호할 수 있습니다.

Cloud de Confiance 콘솔에서 Secret Manager 페이지로 이동합니다.

Secret Manager로 이동
보안 비밀을 만들려면 보안 비밀 만들기를 클릭합니다.
암호화 섹션에서 고객 관리 암호화 키(CMEK) 사용을 선택합니다.
암호화 키 상자에서 다음을 수행합니다.
1. 선택사항: 다른 프로젝트의 키를 사용하려면 다음을 수행합니다.
  1. 프로젝트 전환을 클릭합니다.
  2. 검색창에 프로젝트 이름 전체 또는 일부를 입력한 후 프로젝트를 선택합니다.
  3. 선택한 프로젝트에서 사용 가능한 키를 보려면 선택을 클릭합니다.
2. 선택사항: 위치, 키링, 이름 또는 보호 수준별로 사용 가능한 키를 필터링하려면 필터 표시줄에 검색어를 입력합니다.
3. 선택한 프로젝트의 사용 가능한 키 목록에서 키를 선택합니다. 표시된 위치, 키링, 보호 수준 세부정보를 사용하여 올바른 키를 선택할 수 있습니다.
4. 사용하려는 키가 목록에 없으면 수동으로 키 입력을 클릭하고 키의 리소스 ID를 입력합니다.
보안 비밀 구성을 완료한 후 보안 비밀 만들기를 클릭합니다. Secret Manager에서 지정된 CMEK 키를 사용하여 보안 비밀을 만들고 암호화합니다.

지원되는 서비스에 CMEK 사용 설정

CMEK를 사용 설정하려면 먼저 다음 표에서 원하는 서비스를 찾습니다. 필드에 검색어를 입력하여 테이블을 필터링할 수 있습니다. 외부 Cloud EKM 키를 사용할 때 Cloud KMS와 통합되는 제품은 EKM 지원 열에 표시됩니다.

CMEK 키를 사용 설정할 각 서비스에 대한 안내를 따릅니다.

서비스	CMEK로 보호	EKM 지원	주제
Artifact Registry	저장소의 데이터	예	고객 관리 암호화 키 사용 설정
BigQuery	BigQuery 내 데이터	예	Cloud KMS 키로 데이터 보호
Cloud Logging	Logging 스토리지의 데이터	예	Logging 스토리지 데이터를 보호하는 키 관리
Cloud SQL	데이터베이스에 기록된 데이터	예	고객 관리 암호화 키 사용
Cloud Storage	스토리지 버킷의 데이터	예	고객 관리 암호화 키 사용
Compute Engine	스냅샷	예	Cloud KMS 키로 리소스 보호
Compute Engine	커스텀 이미지	예	Cloud KMS 키로 리소스 보호
Compute Engine	머신 이미지	예	Cloud KMS 키로 리소스 보호
Pub/Sub	주제와 관련된 데이터	예	메시지 암호화 구성