Cloud 외부 키 관리자

이 주제에서는 Cloud 외부 키 관리자(Cloud EKM)의 개요를 제공합니다.

용어

  • 외부 키 관리자(EKM)

    Google Cloud 외부에서 키 관리를 위해 사용하는 키 관리자입니다.

  • Cloud 외부 키 관리자(Cloud EKM)

    지원되는 EKM 내에서 관리되는 외부 키를 사용하는 Google Cloud 서비스입니다.

  • 인터넷을 통한 Cloud EKM

    Google Cloud가 인터넷을 통해 외부 키 관리자와 통신하는 Cloud EKM 버전입니다.

  • VPC를 통한 Cloud EKM

    Google Cloud가 Virtual Private Cloud(VPC)를 통해 외부 키 관리자와 통신하는 Cloud EKM 버전입니다. 자세한 내용은 VPC 네트워크 개요를 참조하세요.

개요

Cloud EKM을 사용하면 지원되는 외부 키 관리 파트너 내에서 관리하는 키를 사용하여 Google Cloud 내 데이터를 보호할 수 있습니다. 지원되는 CMEK 통합 서비스에서 또는 Cloud Key Management Service API를 직접 호출하여 저장 데이터를 보호할 수 있습니다.

Cloud EKM은 다음과 같은 몇 가지 이점을 제공합니다.

  • 주요 출처: 외부 관리 키의 위치와 배포를 제어합니다. 외부 관리 키는 Google Cloud에 캐시되거나 저장되지 않습니다. 대신 Cloud EKM은 각 요청에 대해 외부 키 관리 파트너와 직접 통신합니다.

  • 액세스 제어: 외부 관리 키에 대한 액세스를 관리합니다. 외부 관리 키를 사용하여 Google Cloud에서 데이터를 암호화하거나 복호화하려면 Google Cloud 프로젝트에 키를 사용할 수 있는 액세스 권한을 부여해야 합니다. 언제든지 이 액세스 권한을 취소할 수 있습니다.

  • 중앙 집중식 키 관리: 키와 액세스 정책이 보호하는 데이터가 클라우드에 있든 사내에 있든, 단일 위치 및 사용자 인터페이스에서 키와 액세스 정책을 관리할 수 있습니다.

모든 경우 키는 외부 시스템에 있으며 Google로 전송되지 않습니다.

인터넷 또는 Virtual Private Cloud(VPC)를 통해 외부 키 관리자와 통신할 수 있습니다.

지원되는 키 관리자

다음 외부 키 관리 파트너 시스템에 외부 키를 저장할 수 있습니다.

지원되는 CMEK 통합 서비스

작동 방식

이 섹션에서는 Cloud EKM이 외부 키와 작동하는 방식에 대한 광범위한 개요를 제공합니다. 또한 단계별 안내를 따라 인터넷을 통해 액세스하는 Cloud EKM 키를 만들거나 VPC를 통해 액세스하는 Cloud EKM 키를 만듭니다.

  1. 먼저 지원되는 외부 키 관리 파트너 시스템에서 기존 키를 만들거나 사용합니다. 이 키에는 고유한 URI 또는 키 경로가 포함되어 있습니다.
  2. 그런 다음 외부 키 관리 파트너 시스템에서 Google Cloud 프로젝트에 키를 사용할 수 있는 액세스 권한을 부여합니다.
  3. Google Cloud 프로젝트에서 외부 관리 키의 URI 또는 키 경로를 사용하여 Cloud EKM 키를 만듭니다.

Google Cloud 내에서 키는 보호 수준이 EXTERNAL 또는 EXTERNAL_VPC인 다른 Cloud KMS 및 Cloud HSM 키와 함께 표시됩니다. Cloud EKM 키와 외부 키 관리 파트너 키가 함께 작동하여 데이터를 보호합니다. 외부 키는 Google에 노출되지 않습니다.

다음 다이어그램은 (Compute Engine 및 BigQuery를 사용한 두 예시를 통해) Cloud KMS가 키 관리 모델에 적용되는 방식을 보여줍니다(지원되는 전체 서비스 목록은 여기 참조).

Cloud EKM을 사용한 암호화 및 복호화를 보여주는 다이어그램

Cloud EKM 사용 시 고려사항제한사항에 대해 알아보세요.

고려사항

  • Cloud EKM 키를 사용하는 경우 Google은 외부 키 관리 파트너 시스템에서 외부 관리 키의 가용성을 제어 할 수 없습니다. Google Cloud 외부에서 관리하는 키를 분실한 경우 Google에서 데이터를 복구할 수 없습니다.

  • Cloud EKM 키의 위치를 선택할 때 외부 키 관리 파트너 및 리전에 대한 가이드라인을 검토하세요.

  • Cloud EKM 서비스 수준 계약(SLA)을 검토하세요.

  • 인터넷을 통해 외부 서비스와 통신하면 안정성, 가용성, 지연 시간 문제가 발생할 수 있습니다. 이러한 유형의 위험에 취약한 애플리케이션의 경우 Cloud HSM 또는 Cloud KMS를 사용하여 키 자료를 저장하는 것이 좋습니다.

    • 외부 키를 사용할 수 없는 경우 Cloud KMS는 FAILED_PRECONDITION 오류를 반환하고 PreconditionFailure 오류 세부정보를 제공합니다.

      데이터 감사 로깅을 사용 설정하여 Cloud EKM과 관련된 모든 오류의 레코드를 유지합니다. 오류 메시지에는 오류의 원인을 찾는 데 도움이 되는 세부정보가 포함됩니다. 일반적인 오류의 예는 외부 키 관리 파트너가 적절한 시간 내에 요청에 응답하지 않는 경우입니다.

    • 외부 키 관리 파트너와의 지원 계약이 필요합니다. Google Cloud 지원팀은 Google Cloud 서비스의 문제만 지원할 수 있으며 외부 시스템의 문제는 직접 지원할 수 없습니다. 상호 운용성 문제를 해결하려면 양측의 지원팀과 협력해야 할 수 있습니다.

  • Cloud EKM을 호스팅된 비공개 HSM과 함께 사용하면 Cloud KMS와 통합된 단일 테넌트 HSM 솔루션을 만들 수 있습니다. 단일 테넌트 HSM을 지원하는 Cloud EKM 파트너를 선택하고 호스팅된 비공개 HSM의 요구사항을 검토하여 자세히 알아봅니다.

제한사항

  • 자동 순환은 지원되지 않습니다.
  • API 또는 Google Cloud CLI를 사용하여 Cloud EKM 키를 만들 때는 초기 키 버전을 포함해서는 안 됩니다. Cloud Console을 사용하여 생성된 Cloud EKM 키에는 적용되지 않습니다.
  • 클라우드 KMS 작업의 할당량 외에도 Cloud EKM 작업에는 특정 할당량이 적용됩니다.

대칭 암호화 키

비대칭 서명 키

외부 키 관리자 및 리전

Cloud EKM은 오류를 방지하기 위해 키에 빠르게 도달할 수 있어야 합니다. Cloud EKM 키를 만들 때 외부 키 관리 파트너 키의 위치와 지리적으로 가까운 Google Cloud 위치를 선택합니다. 파트너의 위치 사용 가능 여부에 대한 세부정보는 파트너의 문서를 참조하세요.

  • 인터넷을 통한 Cloud EKM: global을 제외한 Cloud KMS를 지원하는 모든 Google Cloud 위치에서 사용 가능
  • VPC를 통한 Cloud EKM: Cloud KMS에 지원되는 리전 위치에서만 사용할 수 있습니다.

외부 키 관리 파트너의 문서를 참조하여 지원되는 위치를 확인하세요.

멀티 리전 사용

멀티 리전에서 외부 관리 키를 사용하면 외부 키 관리 파트너와 통신하는 데 필요한 정보를 포함한 키의 메타데이터를 멀티 리전 내의 여러 데이터 센터에서 사용할 수 있습니다. 애플리케이션이 멀티 리전 내의 한 데이터 센터에서 다른 데이터 센터로 장애 조치되면 새 데이터 센터가 키 요청을 시작합니다. 새 데이터 센터에는 외부 키 관리 파트너와의 거리 및 시간 초과 가능성 등 이전 데이터 센터와 다른 네트워크 특성이 있을 수 있습니다. 선택한 외부 키 관리자가 멀티 리전의 모든 영역에 짧은 지연 시간을 제공하는 경우에만 멀티 리전을 Cloud EKM에 사용하는 것이 좋습니다.

다음 단계

지원 받기

Cloud EKM에 문제가 발생하면 지원팀에 문의하세요.