자주 묻는 질문(FAQ)
Certificate Authority Service란 무엇인가요?
Certificate Authority Service는 고객이 비공개 키를 제어하면서 비공개 인증 기관(CA)의 배포, 관리, 보안을 간소화, 자동화, 맞춤설정할 수 있는 가용성과 확장성이 우수한 Google Cloud 서비스입니다.
Certificate Authority Service의 일반적인 사용 사례는 무엇인가요?
다음은 CA Service의 일반적인 사용 사례입니다.
- 워크로드 아이덴티티: API를 활용하여 애플리케이션 인증서를 가져오거나 애플리케이션, 컨테이너, 시스템, 기타 리소스의 인증서를 사용합니다.
- 엔터프라이즈 시나리오: VPN, Chrome Enterprise Premium, 문서 서명, Wi-Fi 액세스, 이메일, 스마트 카드 등에 인증서를 사용합니다.
- 중앙 집중식 인증서 발급 및 관리: CA Service를 사용하도록 GKE Enterprise 서비스 메시를 구성합니다.
- IoT 및 휴대기기 ID: 엔드포인트의 ID로 TLS 인증서를 발급합니다.
- CI/CD channel, Binary Authorization, Istio, Kubernetes
CA Service는 어떤 규정 준수 표준을 지원하나요?
자세한 내용은 보안 및 규정 준수를 참고하세요.
CA Service 리소스를 만들 수 있는 위치는 어디인가요?
CA Service 리소스는 여러 위치 중 하나에서 만들 수 있습니다. 전체 위치 목록은 위치를 참조하세요.
CA Service는 단일 루트에서 전역 PKI를 지원하나요?
예, 루트 CA가 단일 리전에 상주하는 경우 가능합니다. 하지만 동일한 루트에 연결된 서로 다른 리전에 여러 발급 CA를 만들 수 있습니다.
CA에 라벨이 지원되나요?
예, 만들기 및 업데이트 작업 중에 라벨을 CA 풀 및 CA에 연결할 수 있습니다.
CA 풀의 라벨을 업데이트하는 방법은 CA 풀의 라벨 업데이트를 참조하세요.
CA의 라벨을 업데이트하는 방법은 CA의 라벨 업데이트를 참조하세요.
Cloud Monitoring을 사용하여 인증서 생성 및 CA 만료를 추적할 수 있나요? 이에 대한 Pub/Sub 이벤트를 생성할 수 있나요?
예, 이러한 모든 이벤트를 모니터링할 수 있습니다. CA Service는 기본적으로 Pub/Sub를 지원하지 않지만 Cloud Monitoring을 사용하여 구성할 수 있습니다. 자세한 내용은 CA Service에 Cloud Monitoring 사용을 참조하세요.
활성화되지 않은 CA는 얼마나 오래 보관되나요?
하위 CA는 AWAITING_USER_ACTIVATION 상태로 생성되며 활성화 후 STAGED 상태로 설정됩니다. 하위 CA가 생성된 후 30일이 지난 후에도 여전히 AWAITING_USER_ACTIVATION 생상태이면 삭제됩니다.
수명 주기 전반에서 CA의 다양한 상태에 관한 자세한 내용은 인증 기관 상태를 참조하세요.
CA Service는 인증서 발급을 위해 어떤 액세스 제어를 지원하나요?
CA Service는 CA 풀에서 IAM 정책 설정을 지원하여 인증서를 발급할 수 있는 사용자를 제어합니다. CA 관리자는 발급 정책을 CA 풀에 연결할 수 있습니다. 이 발급 정책은 CA 풀의 CA가 발급할 수 있는 인증서 유형에 대한 제한을 정의합니다. 이러한 제한사항에는 도메인 이름, 확장 프로그램, 인증서 유효 기간 등에 대한 제한이 포함됩니다.
CA 풀에서 발급 정책을 구성하는 방법은 발급 정책 사용을 참조하세요.
CA Service 리소스를 만들고 관리하는 데 필요한 IAM 정책을 구성하는 방법은 IAM 정책 구성을 참조하세요.
CA Service는 멀티 리전 Cloud KMS 키를 지원하나요?
아니요, CA Service는 멀티 리전 Cloud KMS 키를 지원하지 않습니다.
CA Service가 요청을 제한하나요? CA Service의 타겟 QPS는 얼마인가요?
예, CA Service에 제한 메커니즘이 있습니다. 자세한 내용은 할당량 및 한도를 참조하세요.
CA Service는 VPC 서비스 제어를 지원하나요?
예, CA Service는 VPC 서비스 제어를 지원합니다. 자세한 내용은 지원되는 제품 및 제한사항 > Certificate Authority Service와 보안 및 규정 준수를 참조하세요.
PEM으로 인코딩된 공개 키는 REST API와 함께 어떻게 사용되어야 하나요?
PEM으로 인코딩된 공개 키는 Base64로 인코딩된 후에만 REST API에서 사용할 수 있습니다.
CA Service가 정식 버전(GA)을 발표한 후에도 미리보기 단계 API를 계속 사용할 수 있나요?
예, CA Service가 정식 버전을 발표한 후에도 미리보기 API를 잠시 동안 사용할 수 있습니다. 이 기간은 고객이 최신 API를 사용하도록 원활하게 전환하기 위한 것이며 짧은 기간 동안 제한된 지원을 제공합니다. 고객은 정식 버전 API를 사용할 수 있게 되면 가능한 한 빨리 마이그레이션하는 것이 좋습니다.
CA Service가 정식 버전(GA)을 발표한 후 미리보기 기간 동안 생성된 리소스에 액세스하려면 어떻게 해야 하나요?
Google Cloud 콘솔을 사용하여 프리뷰 기간 동안 생성된 리소스를 보거나 관리할 수 없습니다.
프리뷰 중에 생성된 리소스를 관리하려면 프리뷰 API 또는 프리뷰 gcloud 명령어를 사용합니다.
프리뷰 API는 https://privateca.googleapis.com/v1beta1/ 엔드포인트를 통해 액세스할 수 있습니다.
미리보기 gcloud 명령어는 gcloud privateca beta를 통해 액세스할 수 있습니다. gcloud privateca beta 명령어에 대한 자세한 내용은 gcloud privateca beta를 참조하세요.
체인에 있는 다른 CA와 동일한 주체 및 키를 사용하여 하위 CA를 만들 수 있나요?
아니요, 하위 CA는 루트 CA나 체인에 있는 다른 CA와 동일한 주체 및 키를 가질 수 없습니다. RFC 4158은 주체 이름과 공개 키 쌍이 경로에서 반복되지 않는 것을 권장합니다.
고객 관리 Cloud KMS 키는 CMEK와 동일한가요?
아니요. CA Service에서 지원되는 고객 관리 Cloud KMS 키는 Cloud KMS를 사용하여 관리되는 고객 관리 암호화 키(CMEK)와 다릅니다. CA Service에서 엔터프라이즈 등급의 CA에 대해 자체 고객 관리 Cloud KMS 키(BYO 키라고도 함)를 만들 수 있습니다. 이러한 키는 지원되는 Google Cloud 서비스 내에서 저장 데이터를 암호화하기 위해 사용되는 CMEK와 같은 암호화 키와 달리 CA의 서명 키로 사용됩니다. CA Service는 CMEK를 지원하지 않습니다.
리소스를 삭제한 후 리소스 이름을 재사용할 수 있나요?
아니요, CA 풀, CA, 인증서 템플릿 이름과 같은 리소스 이름은 원래 리소스가 삭제된 후에 새 리소스에서 재사용될 수 없습니다. 예를 들어 projects/Charlie/locations/Location-1/caPools/my-pool이라는 CA 풀을 만든 다음 CA 풀을 삭제하면 my-pool이라는 다른 CA 풀을 Charlie 프로젝트 및 Location-1 위치에 만들 수 없습니다.