이 페이지는 Cloud Translation API를 통해 번역되었습니다.

고객 관리 암호화 키

기본적으로 Integration Connectors는 저장 중 고객 콘텐츠를 암호화합니다. Integration Connectors는 사용자 측의 추가 작업 없이 자동으로 암호화를 처리합니다. 이 옵션을 Google 기본 암호화라고 부릅니다.

암호화 키를 제어하려면 Integration Connectors를 포함한 CMEK 통합 서비스와 함께 Cloud KMS에서 고객 관리 암호화 키(CMEK)를 사용하면 됩니다. Cloud KMS 키를 사용하면 보호 수준, 위치, 순환 일정, 사용 및 액세스 권한, 암호화 경계를 관리할 수 있습니다. Cloud KMS를 사용하면 감사 로그를 보고 키 수명 주기를 제어할 수도 있습니다. Google에서 데이터를 보호하는 대칭 키 암호화 키(KEK)를 소유하고 관리하는 대신 사용자가 Cloud KMS에서 이러한 키를 제어하고 관리할 수 있습니다.

CMEK로 리소스를 설정한 후 Integration Connectors 리소스에 액세스하는 환경은 Google 기본 암호화를 사용하는 것과 유사합니다. 암호화 옵션에 대한 자세한 내용은 고객 관리 암호화 키(CMEK)를 참조하세요.

시작하기 전에

Integration Connectors에 CMEK를 사용하기 전에 다음 태스크가 완료되었는지 확인합니다.

암호화 키를 저장할 프로젝트에 Cloud KMS API를 사용 설정합니다.
Cloud KMS API 사용 설정
도움말: 동일한 Google Cloud 프로젝트 또는 다른 프로젝트에서 Integration Connectors와 Cloud KMS를 실행할 수 있습니다.
암호화 키를 저장할 프로젝트에 대해 Cloud KMS 관리자 IAM 역할을 할당하거나 다음 IAM 권한을 부여합니다.
- cloudkms.cryptoKeys.setIamPolicy
- cloudkms.keyRings.create
- cloudkms.cryptoKeys.create
추가 역할 또는 권한 부여에 대한 자세한 내용은 액세스 권한 부여, 변경, 취소를 참조하세요.

주의: Cloud KMS 관리자 역할에는 키 유지보수 및 키 버전 폐기 권한이 포함되어 있습니다. Cloud KMS 리소스를 보호하기 위해서는 이 역할을 키 관리를 담당하는 사용자에게만 할당해야 합니다.
키링 및 키를 만듭니다.
참고: 키링은 Integration Connectors를 설정한 리전과 동일한 리전에서 만들어야 합니다.

CMEK 키에 서비스 계정 추가

Integration Connectors에서 CMEK 키를 사용하려면 기본 서비스 계정 (service-PROJECT_NUMBER@gcp-sa-connectors.iam.gserviceaccount.com 형식)이 추가되었고 이 계정에 해당 CMEK 키에 대한 CryptoKey 암호화/복호화 IAM 역할이 할당되었는지 확인해야 합니다.

참고: 첫 번째 리전을 프로비저닝하는 경우 기본 서비스 계정이 없을 수 있습니다. 서비스 계정을 생성하려면 gcloud beta services identity create --service=connectors.googleapis.com --project=PROJECT_ID 명령어를 실행합니다.

Google Cloud 콘솔에서 키 인벤토리 페이지로 이동합니다.
키 인벤토리 페이지로 이동
원하는 CMEK 키의 체크박스를 선택합니다.
오른쪽 창의 권한 탭이 활성화됩니다.
주 구성원 추가를 클릭하고 기본 서비스 계정의 이메일 주소를 입력합니다.
역할 선택을 클릭하고 사용 가능한 드롭다운 목록에서 Cloud KMS CryptoKey 암호화/복호화 역할을 선택합니다.
저장을 클릭합니다.

기존 Integration Connectors 리전에 CMEK 암호화 사용 설정

CMEK를 사용하여 리전 (위치라고도 함)에 저장된 지원되는 데이터를 암호화하고 복호화할 수 있습니다. 기존 Integration Connectors 리전에 CMEK 암호화를 사용 설정하려면 다음 단계를 따르세요.

Google Cloud 콘솔에서 Integration Connectors > Connections 페이지로 이동합니다.
모든 연결로 이동 페이지로 이동합니다.
필요한 위치의 연결을 필터링합니다.
지정된 위치 (지역)의 모든 연결 목록이 표시됩니다.
리전에서 모든 연결을 정지합니다.
Integration Connectors > Regions 페이지로 이동합니다. Integration Connectors를 사용할 수 있는 모든 리전이 나와 있습니다.
CMEK를 사용 설정하려는 리전의 작업 메뉴에서 암호화 수정을 클릭합니다. 그러면 암호화 수정 창이 표시됩니다.
고객 관리 암호화 키 (CMEK)를 선택한 다음 고객 관리 키 드롭다운 목록에서 필요한 키를 선택합니다.
서비스 계정에 cloudkms.cryptoKeyEncrypterDecrypter 역할을 부여하라는 메시지가 표시될 수 있습니다. 권한 부여를 클릭합니다.
완료를 클릭합니다.

새 Integration Connectors 리전에 CMEK 암호화 사용 설정

CMEK를 사용하여 리전 (위치라고도 함)에 저장된 지원되는 데이터를 암호화하고 복호화할 수 있습니다. 새 Integration Connectors 리전에 CMEK 암호화를 사용 설정하려면 다음 단계를 따르세요.

Google Cloud 콘솔에서 Integration Connectors > Regions 페이지로 이동합니다.
지역으로 이동 페이지로 이동합니다.
새 리전 프로비저닝을 클릭합니다. 그러면 리전 생성 페이지가 표시됩니다.
리전 드롭다운 목록에서 필요한 리전을 선택합니다.
고급 설정 섹션에서 고객 관리 암호화 키 (CMEK)를 선택한 다음 고객 관리 키 드롭다운 목록에서 필요한 키를 선택합니다.
서비스 계정에 cloudkms.cryptoKeyEncrypterDecrypter 역할을 부여하라는 메시지가 표시될 수 있습니다. 권한 부여를 클릭합니다.
완료를 클릭합니다.

Cloud KMS 할당량 및 Integration Connectors

Integration Connectors에서 CMEK를 사용할 때 프로젝트는 Cloud KMS 암호화 요청 할당량을 사용할 수 있습니다. 예를 들어 CMEK 키는 각 암호화 및 복호화 호출에 이러한 할당량을 사용할 수 있습니다.

CMEK 키를 사용한 암호화 및 복호화 작업은 다음과 같은 방식으로 Cloud KMS 할당량에 영향을 미칩니다.

Cloud KMS에서 생성된 소프트웨어 CMEK 키의 경우 Cloud KMS 할당량이 사용되지 않습니다.
하드웨어 CMEK 키(Cloud HSM 키라고도 함)의 경우 키가 포함된 프로젝트의 Cloud HSM 할당량에 암호화 및 복호화 작업이 집계됩니다.
외부 CMEK 키(Cloud EKM 키라고도 함)의 경우 키가 포함된 프로젝트의 Cloud EKM 할당량에 암호화 및 복호화 작업이 집계됩니다.

자세한 내용은 Cloud KMS 할당량을 참조하세요.