암호화 리소스 관리

이 페이지에서는 암호화된 Google Distributed Cloud (GDC) 오프라인 스토리지 버킷을 관리하는 방법을 보여줍니다.

시작하기 전에

프로젝트 네임스페이스는 관리 API 서버에서 버킷 리소스를 관리합니다. 버킷 및 객체로 작업하려면 프로젝트가 있어야 합니다.

다음 작업을 수행하려면 적절한 버킷 권한도 있어야 합니다. 버킷 액세스 권한 부여를 참고하세요.

암호화 리소스 관리

v2 암호화가 적용된 버킷에는 보안 비밀 kekRef과 여러 AEADKey가 생성됩니다. 여기서 kekRef은 사용 중인 활성 기본 AEADKey를 참조하는 데 사용되고 AEADKey에는 버킷에 속한 활성 및 보관된 키가 포함됩니다.

버킷의 활성 기본 AEADKey 새로고침

약 420억 개의 객체 쓰기 작업이 완료된 후 버킷의 기본 AEADKeys를 새로고침하는 것이 좋습니다. 이 선제적 단계는 보안을 강화하고 키 소진을 방지합니다. 새로고침 프로세스는 새 kekRef를 만들고 이전 AEADKeys를 비활성화합니다. 새로고침 프로세스를 시작하려면 버킷과 연결된 kekRef 보안 비밀을 삭제하세요.

다음 명령어를 실행하여 이전 kekRef를 검색할 수 있습니다.

kubectl get secrets -n NAMESPACE_NAME -l  object.gdc.goog/bucket-name=BUCKET_NAME

그런 다음 다음을 실행하여 기존 kekRef를 삭제할 수 있습니다.

kubectl delete secrets OLD_KEKREF_NAME -n  NAMESPACE_NAME

삭제가 완료되면 다음을 실행하여 AGE에 기반한 새 kekRef가 생성되었는지 확인할 수 있습니다.

kubectl get secrets -n NAMESPACE_NAME -l  object.gdc.goog/bucket-name=BUCKET_NAME

AGE에 따라 새 기본 AEADKeys가 생성되었는지 확인합니다.

kubectl get aeadkeys -n NAMESPACE_NAME -l  cmek.security.gdc.goog/resource-name=BUCKET_NAME

버킷의 기본 AEADKey 순환

버킷의 AEADKey가 손상되면 버킷과 연결된 키 암호화 키를 수동으로 순환해야 합니다.

이 프로세스를 시작하려면 먼저 활성 기본 키를 새로고침해야 합니다. 이렇게 하면 새 활성 기본 AEADKey가 생성되고 이전 키 암호화 키가 비활성화된 것으로 표시됩니다. 기본 키가 새로고침된 후 후속 객체 업로드에서는 새 AEADKeys를 키 암호화 키로 사용합니다. 이전 AEADKeys는 폐기되지 않으므로 이러한 키를 사용하여 이전에 암호화된 기존 객체를 계속 복호화할 수 있습니다.

그런 다음 단계에 따라 버킷의 객체를 다운로드하고 다시 업로드하고 이전 객체를 삭제합니다.

버킷의 모든 객체를 다시 업로드한 후 비활성 AEADKey와 이전 객체를 정리할 수 있습니다. AGE에 따라 비활성화된 AEADKey를 식별합니다.

kubectl get aeadkeys -n NAMESPACE_NAME -l  cmek.security.gdc.goog/resource-name=BUCKET_NAME

마지막으로 단계에 따라 AEADKeys를 삭제합니다.