Application Integration에 지원되는 커넥터를 참조하세요.

고객 관리 암호화 키

기본적으로 Application Integration은 Google에서 관리하는 암호화 키를 사용하여 자동으로 저장 데이터를 암호화합니다. 데이터를 보호하는 키와 관련된 특정 규정 준수 또는 규제 요구사항이 있거나 암호화를 직접 제어하고 관리하려면 고객 관리 암호화 키(CMEK)를 사용하면 됩니다. CMEK 키는 소프트웨어 키로 저장하거나, HSM 클러스터에 저장하거나, Cloud 외부 키 관리자(Cloud EKM)를 통해 외부에 저장할 수 있습니다.

CMEK에 대한 자세한 내용은 Cloud Key Management Service 문서를 참조하세요.

시작하기 전에

Application Integration에 CMEK를 사용하기 전에 다음 태스크가 완료되었는지 확인합니다.

암호화 키를 저장할 프로젝트에 Cloud KMS API를 사용 설정합니다.
Cloud KMS API 사용 설정
팁: 동일한 Google Cloud 프로젝트 또는 다른 프로젝트에서 Application Integration 및 Cloud KMS를 실행할 수 있습니다.
암호화 키를 저장할 프로젝트에 대해 Cloud KMS 관리자 IAM 역할을 할당하거나 다음 IAM 권한을 부여합니다.
- cloudkms.cryptoKeys.setIamPolicy
- cloudkms.keyRings.create
- cloudkms.cryptoKeys.create
추가 역할 또는 권한 부여에 대한 자세한 내용은 액세스 권한 부여, 변경, 취소를 참조하세요.

주의: Cloud KMS 관리자 역할에는 키 유지보수 및 키 버전 폐기 권한이 포함되어 있습니다. Cloud KMS 리소스를 보호하기 위해서는 이 역할을 키 관리를 담당하는 사용자에게만 할당해야 합니다.
키링 및 키를 만듭니다.
참고: 키링은 Application Integration을 설치한 리전과 동일한 리전에서 만들어야 합니다.

CMEK 키에 서비스 계정 추가

Application Integration에서 CMEK 키를 사용하려면 기본 서비스 계정이 추가되었고 이 계정에 해당 CMEK 키에 대한 CryptoKey 암호화/복호화 IAM 역할이 할당되었는지 확인해야 합니다.

Google Cloud 콘솔에서 키 인벤토리 페이지로 이동합니다.
키 인벤토리 페이지로 이동
원하는 CMEK 키의 체크박스를 선택합니다.
오른쪽 창의 권한 탭이 활성화됩니다.
주 구성원 추가를 클릭하고 기본 서비스 계정의 이메일 주소를 입력합니다.
역할 선택을 클릭하고 사용 가능한 드롭다운 목록에서 Cloud KMS CryptoKey 암호화/복호화 역할을 선택합니다.
저장을 클릭합니다.

Application Integration 리전에 CMEK 암호화 사용 설정

CMEK는 프로비저닝된 리전 범위 내 PD에 저장된 데이터를 암호화하고 복호화하는 데 사용할 수 있습니다.

Google Cloud 프로젝트에서 Application Integration 리전에 CMEK 암호화를 사용 설정하려면 다음 단계를 수행하세요.

Google Cloud 콘솔에서 Application Integration 페이지로 이동합니다.
Application Integration으로 이동
탐색 메뉴에서 리전을 클릭합니다.
Application Integration에 프로비저닝된 리전이 나열된 리전 페이지가 나타납니다.
CMEK를 사용하려는 기존 통합의 경우 작업을 클릭하고 암호화 수정을 선택합니다.
암호화 수정 창에서 고급 설정 섹션을 펼칩니다.
고객 관리 암호화 키(CMEK) 사용을 선택하고 다음을 수행합니다.
1. 사용 가능한 드롭다운 목록에서 CMEK 키를 선택합니다. 드롭다운에 나열된 CMEK 키는 프로비저닝된 리전을 기준으로 합니다. 새 키를 만들려면 새 CMEK 키 만들기를 참조하세요.
2. 확인을 클릭하여 기본 서비스 계정에 선택된 CMEK 키에 대한 CryptoKey 액세스 권한이 있는지 확인합니다.
3. 선택된 CMEK 키의 확인이 실패하면 권한 부여를 클릭하여 기본 서비스 계정에 CryptoKey 암호화/복호화 IAM 역할을 할당합니다.
완료를 클릭합니다.

새 CMEK 키 만들기

기존 키를 사용하지 않으려는 경우 또는 지정된 리전에 키가 없는 경우 새 CMEK 키를 만들 수 있습니다.

새 대칭 암호화 키를 만들려면 새 키 만들기 대화상자에서 다음 단계를 수행합니다.

키링을 선택합니다.
1. 키링을 클릭하고 지정된 리전의 기존 키링을 선택합니다.
2. 키의 새 키링을 만들려면 키링 만들기 전환 버튼을 클릭하고 다음 단계를 수행합니다.
  1. 키링 이름을 클릭하고 키링의 이름을 입력합니다.
  2. 키링 위치를 클릭하고 키링의 리전 위치를 선택합니다.
    참고: CMEK 암호화의 경우 Application Integration과 동일한 리전에 키링을 만들어야 합니다.
3. 계속을 클릭합니다.
키 만들기:
1. 키 이름을 클릭하고 새 키의 이름을 입력합니다.
2. 보호 수준을 클릭하고 소프트웨어 또는 HSM을 선택합니다.
  보호 수준에 대한 자세한 내용은 Cloud KMS 보호 수준을 참조하세요.
키 및 키링 세부정보를 검토하고 계속을 클릭합니다.
만들기를 클릭합니다.

Cloud KMS 할당량 및 Application Integration

Application Integration에서 CMEK를 사용할 때 프로젝트는 Cloud KMS 암호화 요청 할당량을 사용할 수 있습니다. 예를 들어 CMEK 키는 각 암호화 및 복호화 호출에 이러한 할당량을 사용할 수 있습니다.

CMEK 키를 사용한 암호화 및 복호화 작업은 다음과 같은 방식으로 Cloud KMS 할당량에 영향을 미칩니다.

Cloud KMS에서 생성된 소프트웨어 CMEK 키의 경우 Cloud KMS 할당량이 사용되지 않습니다.
하드웨어 CMEK 키(Cloud HSM 키라고도 함)의 경우 키가 포함된 프로젝트의 Cloud HSM 할당량에 암호화 및 복호화 작업이 집계됩니다.
외부 CMEK 키(Cloud EKM 키라고도 함)의 경우 키가 포함된 프로젝트의 Cloud EKM 할당량에 암호화 및 복호화 작업이 집계됩니다.

자세한 내용은 Cloud KMS 할당량을 참조하세요.