이 페이지에서는 Cloud Key Management Service(Cloud KMS)의 기존 키링에 Cloud 외부 키 관리자(Cloud EKM) 키를 만드는 방법을 보여줍니다.
시작하기 전에
이 페이지의 작업을 완료하려면 먼저 다음 항목이 있어야 합니다.
Cloud KMS 리소스를 포함할 Google Cloud 프로젝트 리소스. 다른 Google Cloud 리소스가 포함되지 않은 Cloud KMS 리소스에 대해 개별 프로젝트를 사용하는 것이 좋습니다.
프로젝트의 Cloud EKM 서비스 계정을 기록합니다. 다음 예시에서는
PROJECT_NUMBER
를 Google Cloud 프로젝트의 프로젝트 번호로 바꿉니다. 이 정보는 Google Cloud 콘솔을 사용하여 Cloud EKM 키를 만들 때마다 표시됩니다.service-PROJECT_NUMBER@gcp-sa-ekms.iam.gserviceaccount.com
키를 만들 키링의 이름과 위치. 다른 리소스 근처에 있고 Cloud EKM을 지원하는 위치에서 키링을 선택합니다. 사용 가능한 위치 및 지원되는 보호 수준을 보려면 Cloud KMS 위치를 참조하세요. 키링을 만들려면 키링 만들기를 참조하세요.
수동으로 관리되는 외부 키를 만들려면 외부 키 관리 파트너 시스템에서 키를 만들어야 합니다. 정확한 단계는 외부 키 관리 파트너에 따라 다릅니다.
필요한 경우 외부 키 관리 파트너에게 참여하도록 액세스를 요청하세요.
외부 키 관리 파트너 시스템에서 대칭 또는 비대칭 키를 만들거나 기존 키를 선택합니다.
Cloud EKM 키에 사용할 Google Cloud 리전 근처 리전의 키를 만듭니다. 이를 통해 Google Cloud 프로젝트와 외부 키 관리 파트너 간의 네트워크 지연 시간을 줄일 수 있습니다. 그렇지 않으면 실패한 작업이 증가할 수 있습니다. 자세한 내용은 Cloud EKM 및 리전을 참조하세요.
외부 키의 URI 또는 키 경로를 기록해 둡니다. Cloud EKM 키를 만들려면 이 정보가 필요합니다.
외부 키 관리 파트너 시스템에서 Google Cloud 서비스 계정에 외부 키 사용 권한을 부여합니다. 서비스 계정을 이메일 주소로 취급합니다. EKM 파트너는 이 주제에 사용된 용어와 다른 용어를 사용할 수 있습니다.
VPC 키를 통해 EKM을 만들려면 VPC 연결을 통해 EKM을 만들어야 합니다.
선택사항: gcloud CLI를 사용하려면 환경을 준비합니다.
gcloud CLI
In the Google Cloud console, activate Cloud Shell.
필요한 역할
키를 만드는 데 필요한 권한을 얻으려면 관리자에게 프로젝트 또는 상위 리소스에 대한 Cloud KMS 관리자(roles/cloudkms.admin
) IAM 역할을 부여해 달라고 요청하세요.
역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.
이 사전 정의된 역할에는 키를 만드는 데 필요한 권한이 포함되어 있습니다. 필요한 정확한 권한을 보려면 필수 권한 섹션을 펼치세요.
필수 권한
키를 만들려면 다음 권한이 필요합니다.
-
cloudkms.cryptoKeys.create
-
cloudkms.cryptoKeys.get
-
cloudkms.cryptoKeys.list
-
cloudkms.cryptoKeyVersions.create
-
cloudkms.cryptoKeyVersions.get
-
cloudkms.cryptoKeyVersions.list
-
cloudkms.keyRings.get
-
cloudkms.keyRings.list
-
cloudkms.locations.get
-
cloudkms.locations.list
-
resourcemanager.projects.get
-
공개 키를 가져오려면 다음 안내를 따르세요.
cloudkms.cryptoKeyVersions.viewPublicKey
커스텀 역할이나 다른 사전 정의된 역할을 사용하여 이 권한을 부여받을 수도 있습니다.
조정된 외부 키 만들기
콘솔
Google Cloud 콘솔에서 키 관리 페이지로 이동합니다.
키를 만들 키링의 이름을 클릭합니다.
키 만들기를 클릭합니다.
키 이름에 키의 이름을 입력합니다.
보호 수준에서 외부를 선택합니다.
외부 키 관리자(EKM) 연결 유형에서 VPC 사용을 선택합니다.
VPC 연결을 통한 EKM에서 연결을 선택합니다.
EkmConnection.list
권한이 없으면 연결 리소스 이름을 수동으로 입력해야 합니다.계속을 클릭합니다.
키 자료 섹션에서 Cloud KMS에서 요청되고 EKM에서 생성되는 새 키 자료에 대한 메시지를 확인할 수 있습니다. 키 경로 필드가 표시되면 선택한 VPC 연결을 통한 EKM이 조정된 외부 키에 대해 구성되지 않은 것입니다.
필요에 따라 나머지 키 설정을 구성한 다음 만들기를 클릭합니다.
Cloud EKM은 새 키를 만들기 위해 EKM에 요청을 보냅니다. EKM에서 키 경로를 반환하고 Cloud EKM 키를 사용할 수 있을 때까지 키는 생성 대기 중으로 표시됩니다.
gcloud
명령줄에서 Cloud KMS를 사용하려면 먼저 최신 버전의 Google Cloud CLI로 설치 또는 업그레이드하세요.
gcloud kms keys create KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --purpose PURPOSE \ --default-algorithm ALGORITHM \ --protection-level "external-vpc" \ --crypto-key-backend VPC_CONNECTION_RESOURCE_ID
다음을 바꿉니다.
KEY_NAME
: 키의 이름입니다.KEY_RING
: 키가 포함된 키링의 이름입니다.LOCATION
: 키링의 Cloud KMS 위치입니다.PURPOSE
: 키의 용도입니다.ALGORITHM
: 키에 사용할 알고리즘입니다(예:google-symmetric-encryption
). 지원되는 알고리즘 목록은 알고리즘을 참조하세요.VPC_CONNECTION_RESOURCE_ID
: EKM 연결의 리소스 ID입니다.
모든 플래그 및 가능한 값에 대한 정보를 보려면 --help
플래그와 함께 명령어를 실행하세요.
VPC 키를 통해 수동으로 관리되는 Cloud EKM 만들기
콘솔
Google Cloud 콘솔에서 키 관리 페이지로 이동합니다.
키를 만들 키링의 이름을 클릭합니다.
키 만들기를 클릭합니다.
키 이름에 키의 이름을 입력합니다.
보호 수준에서 외부를 선택합니다.
외부 키 관리자(EKM) 연결 유형에서 VPC 사용을 선택합니다.
VPC 연결을 통한 EKM에서 연결을 선택합니다.
EkmConnection.list
권한이 없으면 연결 리소스 이름을 수동으로 입력해야 합니다.계속을 클릭합니다.
키 경로 필드에 외부 키 경로를 입력합니다.
필요에 따라 나머지 키 설정을 구성한 다음 만들기를 클릭합니다.
gcloud
명령줄에서 Cloud KMS를 사용하려면 먼저 최신 버전의 Google Cloud CLI로 설치 또는 업그레이드하세요.
gcloud kms keys create KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --purpose PURPOSE \ --default-algorithm ALGORITHM \ --protection-level "external-vpc" \ --skip-initial-version-creation \ --crypto-key-backend VPC_CONNECTION_RESOURCE_ID
다음을 바꿉니다.
KEY_NAME
: 키의 이름입니다.- KEY_RING
LOCATION
: 키링의 Cloud KMS 위치입니다.PURPOSE
: 키의 용도입니다.ALGORITHM
: 키에 사용할 알고리즘입니다(예:google-symmetric-encryption
). 지원되는 알고리즘 목록은 알고리즘을 참조하세요.VPC_CONNECTION_RESOURCE_ID
: EKM 연결의 리소스 ID입니다.
모든 플래그 및 가능한 값에 대한 정보를 보려면 --help
플래그와 함께 명령어를 실행하세요.
인터넷 키를 통해 수동으로 관리되는 Cloud EKM 만들기
콘솔
Google Cloud 콘솔에서 키 관리 페이지로 이동합니다.
키를 만들 키링의 이름을 클릭합니다.
키 만들기를 클릭합니다.
키 이름에 키의 이름을 입력합니다.
보호 수준에서 외부를 선택합니다.
외부 키 관리자(EKM) 연결 유형에서 인터넷 사용을 선택합니다.
계속을 클릭합니다.
키 URI 필드에 외부 키 경로를 입력합니다.
필요에 따라 나머지 키 설정을 구성한 다음 만들기를 클릭합니다.
gcloud
명령줄에서 Cloud KMS를 사용하려면 먼저 최신 버전의 Google Cloud CLI로 설치 또는 업그레이드하세요.
빈 외부 키를 만듭니다.
gcloud kms keys create KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --purpose PURPOSE \ --protection-level external \ --skip-initial-version-creation \ --default-algorithm ALGORITHM
다음을 바꿉니다.
KEY_NAME
: 키의 이름입니다.KEY_RING
: 키가 포함된 키링의 이름입니다.LOCATION
: 키링의 Cloud KMS 위치입니다.PURPOSE
: 키의 용도입니다.ALGORITHM
: 키에 사용할 알고리즘입니다(예:google-symmetric-encryption
). 지원되는 알고리즘 목록은 알고리즘을 참조하세요.
모든 플래그 및 가능한 값에 대한 정보를 보려면
--help
플래그와 함께 명령어를 실행하세요.방금 만든 키의 키 버전을 만듭니다.
gcloud kms keys versions create \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --external-key-uri EXTERNAL_KEY_URI
EXTERNAL_KEY_URI
를 외부 키의 URI로 바꿉니다.대칭 키 버전의 경우
--primary
플래그를 추가하여 새 키 버전을 기본 버전으로 설정합니다.