근거 확인 및 조치

이 페이지에서는 키 액세스 근거가 암호화 키에 대한 액세스를 요청하기 위해 전송하는 근거를 보고 조치를 취하는 방법을 설명합니다. 정보가 암호화되거나 복호화될 때마다 키 액세스 근거에서 액세스 이유를 설명하는 근거를 보냅니다. 근거를 보고 조치를 취하는 방법은 키 액세스 근거에서 사용 중인 키 유형에 따라 다릅니다.

  • 외부 관리 키의 경우 Cloud EKM 파트너에서 근거 콘텐츠를 기반으로 액세스 요청을 자동으로 승인하거나 거부하는 정책을 설정하는 기능을 제공할 수 있습니다. 정책 설정에 대한 자세한 내용은 선택한 키 관리자 관련 문서를 참조하세요. 다음 파트너에서 키 액세스 근거를 지원합니다.
    • Fortanix
    • Thales
  • 키 유형에 관계없이 키 액세스 근거 정책으로 구성된 모든 키의 경우 Cloud KMS 감사 로그에서 액세스 요청을 볼 수 있습니다.

액세스를 거부하면 Google 직원이 계약 서비스를 지원할 수 없습니다. 예를 들면 다음과 같습니다.

  • CUSTOMER_INITIATED_ACCESS 또는 GOOGLE_INITIATED_SYSTEM_OPERATION의 이유로 요청에 대한 액세스를 거부하면 서비스를 사용할 수 없게 됩니다.
  • CUSTOMER_INITATED_SUPPORT 이유로 요청에 대한 액세스를 거부하면 지원 티켓에서 민감한 고객 정보에 액세스해야 하는 드문 경우에 Google 직원이 지원 티켓에 응답할 수 있는 기능이 제한됩니다. 일반적으로 지원 티켓을 지원하는 데 이 액세스가 필요하지 않으며 일선 지원 담당자에게는 이 액세스 권한이 없습니다.
  • GOOGLE_INITIATED_SERVICE 이유로 요청에 대한 액세스를 거부하면 서비스 가용성과 신뢰성이 저하되며 Google에서 서비스 중단을 복구할 수 없게 됩니다.

EKM 키 근거 보기

데이터에 액세스할 때 Google Cloud 콘솔을 사용하여 외부 키 관리자에게 전송되는 근거 키 액세스 근거를 볼 수 있습니다. 근거에 액세스하려면 먼저 암호화에 사용된 키가 포함된 프로젝트에서 Cloud KMS로 Cloud 감사 로그를 사용 설정해야 합니다.

설정을 완료하면 암호화 작업에 대한 외부 요청에 사용된 근거도 Cloud 감사 로그에 포함됩니다. 근거는 protoPayloadmetadata 항목에 있는 리소스 키의 데이터 액세스 로그에 포함됩니다. 이러한 필드에 대한 자세한 내용은 감사 로그 이해를 참조하세요. Cloud KMS에서 Cloud 감사 로그를 사용하는 방법에 대한 자세한 내용은 Cloud KMS 감사 로깅 정보를 참조하세요.

외부 키 관리자와 공유되는 근거와 달리 Cloud 감사 로그의 근거는 관련 암호화 작업을 승인하거나 거부하는 데 사용될 수 없습니다. Google Cloud는 작업이 완료된 후에만 근거를 로깅합니다. 따라서 Google Cloud의 로그를 주로 기록 보관에 사용해야 합니다.

Cloud HSM 및 소프트웨어 키의 근거 보기

Cloud HSM 및 키 액세스 근거로 구성된 소프트웨어 키를 사용하여 암호화 또는 복호화 작업을 수행한 경우 Cloud KMS 감사 로그를 보고 다음 정보를 볼 수 있습니다.

  • key_access_justification: 요청과 연결된 근거 코드입니다.
  • key_access_justification_policy_metadata: 다음 정보가 포함된 키의 키 액세스 근거 정책 메타데이터입니다.
    • customer_configured_policy_enforced: 키에 설정된 키 액세스 근거 정책이 작업에 적용되었는지 여부를 나타냅니다.
    • customer_configured_policy: 키에 대한 액세스를 허용하는 근거 코드를 나타냅니다.
    • justification_propagated_to_ekm: 액세스 요청이 외부 키 관리자로 전파되었는지 여부를 나타냅니다(구성된 경우).

다음 예시에서는 키 액세스 근거로 구성된 Cloud HSM 키의 Cloud KMS 감사 로그 항목을 보여줍니다.

  {
    @type: "type.googleapis.com/google.cloud.audit.AuditLog"
    (...)
    metadata: {
      entries: {
        key_access_justification: {
          @type: "type.googleapis.com/google.cloud.ekms.v0.AccessReasonContext"
          reason: "CUSTOMER_INITIATED_ACCESS"
        }
        key_access_justification_policy_metadata: {
          customer_configured_policy_enforced: "true"
          customer_configured_policy: {
            allowed_access_reasons: ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]
          }
        justification_propagated_to_ekm: "false"
        }
      }
    }
    methodName: "useVersionToDecrypt"
    serviceName: "cloudkms.googleapis.com"
    (...)
  }