이 주제에서는 Cloud 외부 키 관리자(Cloud EKM)의 개요를 제공합니다.
용어
외부 키 관리자(EKM)
Google Cloud 외부에서 키 관리를 위해 사용하는 키 관리자입니다.
Cloud 외부 키 관리자(Cloud EKM)
지원되는 EKM 내에서 관리되는 외부 키를 사용하는 Google Cloud 서비스입니다.
인터넷을 통한 Cloud EKM
Google Cloud가 인터넷을 통해 외부 키 관리자와 통신하는 Cloud EKM 버전입니다.
VPC를 통한 Cloud EKM
Google Cloud가 Virtual Private Cloud(VPC)를 통해 외부 키 관리자와 통신하는 Cloud EKM 버전입니다. 자세한 내용은 VPC 네트워크 개요를 참조하세요.
Cloud KMS의 EKM 키 관리
Cloud EKM 제어 영역을 지원하는 외부 키 관리 파트너와 함께 VPC를 통해 Cloud EKM을 사용하는 경우 Cloud KMS EKM 관리 모드를 사용하여 외부 키 관리 파트너 및 Cloud EKM에서 외부 키를 유지 관리하는 프로세스를 간소화할 수 있습니다. 자세한 내용은 이 페이지의 조정된 외부 키 및 Cloud KMS의 EKM 키 관리를 참조하세요.
암호화 공간
외부 키 관리 파트너 내의 리소스 컨테이너입니다. 암호화 공간은 고유한 암호화 공간 경로로 식별됩니다. 암호화 공간 경로의 형식은 외부 키 관리 파트너에 따라 다릅니다(예:
v0/cryptospaces/YOUR_UNIQUE_PATH).파트너 관리형 EKM
신뢰할 수 있는 파트너가 EKM을 자동으로 관리하는 계약입니다. 자세한 내용은 이 페이지의 파트너 관리형 EKM을 참조하세요.
키 액세스 근거
키 액세스 근거에서 Cloud EKM을 사용하는 경우 외부 키 관리 파트너에 대한 각 요청에는 각 요청의 이유를 식별하는 필드가 포함됩니다. 제공된 키 액세스 근거 코드를 기준으로 요청을 허용하거나 거부하도록 외부 키 관리 파트너를 구성할 수 있습니다. 키 액세스 근거에 대한 자세한 내용은 키 액세스 근거 개요를 참조하세요.
개요
Cloud EKM을 사용하면 지원되는 외부 키 관리 파트너 내에서 관리하는 키를 사용하여 Google Cloud 내 데이터를 보호할 수 있습니다. 지원되는 CMEK 통합 서비스에서 또는 Cloud Key Management Service API를 직접 호출하여 저장 데이터를 보호할 수 있습니다.
Cloud EKM은 다음과 같은 몇 가지 이점을 제공합니다.
주요 출처: 외부 관리 키의 위치와 배포를 제어합니다. 외부 관리 키는 Google Cloud에 캐시되거나 저장되지 않습니다. 대신 Cloud EKM은 각 요청에 대해 외부 키 관리 파트너와 직접 통신합니다.
액세스 제어: 외부 관리 키에 대한 액세스를 관리합니다. Google Cloud에서 외부 관리 키를 사용하려면 먼저 Google Cloud 프로젝트에 키를 사용할 수 있는 액세스 권한을 부여해야 합니다. 언제든지 이 액세스 권한을 취소할 수 있습니다.
중앙 집중식 키 관리: 키와 액세스 정책이 보호하는 데이터가 클라우드에 있든 사내에 있든, 단일 사용자 인터페이스에서 키와 액세스 정책을 관리할 수 있습니다.
모든 경우 키는 외부 시스템에 있으며 Google로 전송되지 않습니다.
인터넷 또는 Virtual Private Cloud(VPC)를 통해 외부 키 관리자와 통신할 수 있습니다.
Cloud EKM 작동 방식
Cloud EKM 키 버전은 다음 부분으로 구성됩니다.
- 외부 키 자료: Cloud EKM 키의 외부 키 자료는 EKM에 생성되고 저장된 암호화 자료입니다. 이 자료는 EKM을 벗어나지 않으며 Google과 절대 공유하지 않습니다.
- 키 참조: 각 Cloud EKM 키 버전에는 키 URI 또는 키 경로가 포함됩니다. Cloud EKM은 키를 사용하여 암호화 작업을 요청할 때 사용하는 외부 키 자료의 고유 식별자입니다.
- 내부 키 자료: 대칭 Cloud EKM 키가 생성되면 Cloud KMS는 Cloud KMS를 벗어나지 않는 Cloud KMS에 추가 키 자료를 만듭니다. 이 키 자료는 EKM과 통신할 때 추가 암호화 레이어로 사용됩니다. 이 내부 키 자료는 비대칭 서명 키에 적용되지 않습니다.
Cloud EKM 키를 사용하기 위해 Cloud EKM은 EKM에 암호화 작업 요청을 보냅니다. 예를 들어 대칭 암호화 키로 데이터를 암호화하기 위해 Cloud EKM은 먼저 내부 키 자료를 사용하여 데이터를 암호화합니다. 암호화된 데이터는 EKM 요청에 포함됩니다. EKM은 외부 키 자료를 사용하여 암호화된 데이터를 다른 암호화 레이어에 래핑한 다음 결과 암호문을 반환합니다. Cloud EKM 키를 사용하여 암호화된 데이터는 외부 키 자료와 내부 키 자료가 없으면 복호화될 수 없습니다.
조직에서 키 액세스 근거를 사용 설정한 경우 외부 키 관리 파트너가 제공된 액세스 근거를 기록하고 외부 키 관리 파트너의 키 액세스 근거 정책에서 허용하는 정당성 이유 코드에 대해서만 요청을 완료합니다.
Cloud EKM 키를 만들고 관리하려면 해당하는 Cloud KMS와 EKM을 모두 변경해야 합니다. 이러한 변경사항은 수동 관리 외부 키 및 조정된 외부 키에서 다르게 처리됩니다. 인터넷을 통해 액세스하는 모든 외부 키는 수동으로 관리됩니다. VPC 네트워크를 통해 액세스되는 외부 키는 VPC 연결을 통한 EKM 관리 모드에 따라 수동으로 관리하거나 조정할 수 있습니다. 수동 EKM 관리 모드는 수동으로 관리되는 키에 사용됩니다. Cloud KMS EKM 관리 모드는 조정된 외부 키에 사용됩니다. EKM 관리 모드에 대한 자세한 내용은 이 페이지의 수동 외부 키 및 조정된 외부 키를 참조하세요.
다음 다이어그램은 Cloud KMS가 키 관리 모델에 적용되는 방식을 보여줍니다. 이 다이어그램은 Compute Engine 및 BigQuery를 두 가지 예시로 사용합니다. Cloud EKM 키를 지원하는 서비스의 전체 목록도 참조하세요.
Cloud EKM 사용 시 고려사항 및 제한사항에 대해 알아보세요.
수동으로 관리되는 외부 키
이 섹션에서는 Cloud EKM이 수동으로 관리되는 외부 키와 작동하는 방식에 대한 광범위한 개요를 제공합니다.
- 지원되는 외부 키 관리 파트너 시스템에서 기존 키를 만들거나 사용합니다. 이 키에는 고유한 URI 또는 키 경로가 포함되어 있습니다.
- 외부 키 관리 파트너 시스템에서 Google Cloud 프로젝트에 키를 사용할 수 있는 액세스 권한을 부여합니다.
- Google Cloud 프로젝트에서 외부 관리 키의 URI 또는 키 경로를 사용하여 Cloud EKM 키 버전을 만듭니다.
- EKM과 Cloud EKM 간에 키 순환과 같은 유지보수 작업은 수동으로 관리되어야 합니다. 예를 들어 키 버전 순환 또는 키 버전 폐기 작업은 EKM과 Cloud KMS에서 모두 직접 완료해야 합니다.
Google Cloud 내에서 키는 보호 수준이 EXTERNAL 또는 EXTERNAL_VPC인 다른 Cloud KMS 및 Cloud HSM 키와 함께 표시됩니다. Cloud EKM 키와 외부 키 관리 파트너 키가 함께 작동하여 데이터를 보호합니다. 외부 키 자료는 Google에 노출되지 않습니다.
조정된 외부 키
이 섹션에서는 Cloud EKM이 조정된 외부 키와 작동하는 방식에 대한 개요를 제공합니다.
VPC 연결을 통해 EKM을 설정하고 EKM 관리 모드를 Cloud KMS로 설정합니다. 설정 중에 VPC 네트워크에 액세스하도록 EKM을 승인하고 EKM의 암호화 공간에 액세스하도록 Google Cloud 프로젝트 서비스 계정을 승인해야 합니다. EKM 연결은 EKM의 호스트 이름과 EKM 내에서 리소스를 식별하는 암호화 공간 경로를 사용합니다.
Cloud KMS에서 외부 키를 만듭니다. Cloud KMS EKM 관리 모드가 사용 설정된 상태에서 VPC 연결을 통해 EKM을 사용하여 Cloud EKM 키를 만들면 다음 단계가 자동으로 수행됩니다.
- Cloud EKM은 EKM에 키 생성 요청을 보냅니다.
- EKM에서 요청된 키 자료를 만듭니다. 이 외부 키 자료는 EKM에 남아 있으며 Google로 전송되지 않습니다.
- EKM은 Cloud EKM에 대한 키 경로를 반환합니다.
- Cloud EKM은 EKM에서 제공하는 키 경로를 사용하여 Cloud EKM 키 버전을 만듭니다.
조정된 외부 키의 유지보수 작업은 Cloud KMS에서 시작할 수 있습니다. 예를 들어 대칭 암호화에 사용되는 조정된 외부 키는 설정된 일정에 따라 자동으로 순환될 수 있습니다. 새 키 버전 생성은 Cloud EKM에 의해 EKM에서 조정됩니다. Google Cloud 콘솔, gcloud CLI, Cloud KMS API 또는 Cloud KMS 클라이언트 라이브러리를 사용하여 Cloud KMS에서 EKM의 키 버전 생성 또는 폐기를 트리거할 수도 있습니다.
Google Cloud 내에서 키는 보호 수준이 EXTERNAL_VPC인 다른 Cloud KMS 및 Cloud HSM 키와 함께 표시됩니다. Cloud EKM 키와 외부 키 관리 파트너 키가 함께 작동하여 데이터를 보호합니다. 외부 키 자료는 Google에 노출되지 않습니다.
Cloud KMS의 EKM 키 관리
EKM은 Cloud KMS의 EKM 키 관리를 사용하는 VPC 연결을 통해 조정된 외부 키를 만들 수 있습니다. EKM이 Cloud EKM 제어 영역을 지원하는 경우 VPC 연결을 통해 EKM에 대한 Cloud KMS의 EKM 키 관리를 사용 설정하여 조정된 외부 키를 만들 수 있습니다. Cloud KMS에서 EKM 키 관리가 사용 설정되면 Cloud EKM은 EKM에서 다음 변경사항을 요청할 수 있습니다.
키 만들기: VPC 연결을 통해 호환되는 EKM을 사용하여 Cloud KMS에서 외부 관리 키를 만들면 Cloud EKM은 EKM에 키 생성 요청을 보냅니다. 성공하면 EKM이 새 키와 키 자료를 만들고 Cloud EKM이 키에 액세스하는 데 사용할 키 경로를 반환합니다.
키 순환: VPC 연결을 통해 호환되는 EKM을 사용하여 Cloud KMS에서 외부 관리 키를 순환하면 Cloud EKM이 EKM에 순환 요청을 보냅니다. 성공하면 EKM이 새 키 자료를 만들고 Cloud EKM이 새 키 버전에 액세스하는 데 사용할 키 경로를 반환합니다.
키 폐기: VPC 연결을 통해 호환되는 EKM을 사용하여 Cloud KMS에서 외부 관리 키의 키 버전을 폐기할 때 Cloud KMS는 Cloud KMS에서 키 버전 폐기를 예약합니다. 예정된 폐기 기간이 끝나기 전에 키 버전이 복원되지 않으면 Cloud EKM은 키 암호화 자료의 일부를 폐기하고 EKM에 폐기 요청을 보냅니다.
Cloud KMS에서 키 버전이 폐기되면 EKM에서 아직 키 버전이 폐기되지 않았더라도 이 키 버전으로 암호화된 데이터를 복호화할 수 없습니다. Cloud KMS에서 키 세부정보를 확인하여 EKM이 키 버전을 성공적으로 삭제했는지 확인할 수 있습니다.
EKM의 키가 Cloud KMS에서 관리되면 키 자료는 EKM에 계속 유지됩니다. Google은 명시적 권한 없이 EKM에 키 관리 요청을 할 수 없습니다. Google은 외부 키 관리 파트너 시스템에서 권한 또는 키 액세스 근거 정책을 변경할 수 없습니다. EKM에서 Google 권한을 취소하면 Cloud KMS에서 시도된 키 관리 작업이 실패합니다.
호환성
지원되는 키 관리자
다음 외부 키 관리 파트너 시스템에 외부 키를 저장할 수 있습니다.
Cloud EKM으로 CMEK를 지원하는 서비스
다음 서비스는 외부(Cloud EKM) 키의 Cloud KMS와의 통합을 지원합니다.
- PostgreSQL용 AlloyDB
- Application Integration
- Artifact Registry
- BigQuery
- Cloud Bigtable
- Cloud Composer
- Cloud Functions
- Cloud Logging: 로그 라우터의 데이터 및 Logging 스토리지의 데이터
- Cloud Run
- Cloud Spanner
- Cloud SQL
- Cloud Storage
- Cloud Workstations
- Compute Engine: 영구 디스크 , 스냅샷 , 커스텀 이미지
- Database Migration Service: MySQL 마이그레이션 - 데이터베이스에 작성된 데이터 , PostgreSQL 마이그레이션 - 데이터베이스에 작성된 데이터 , PostgreSQL에서 AlloyDB로 마이그레이션 - 데이터베이스에 작성된 데이터 , Oracle에서 PostgreSQL로 저장 데이터 마이그레이션
- Dataflow
- Dataproc: VM 디스크의 Dataproc 클러스터 데이터 및 VM 디스크의 Dataproc 서버리스 데이터
- Dataproc Metastore
- Document AI
- Eventarc
- Filestore
- Google Distributed Cloud Edge
- Google Kubernetes Engine: VM 디스크의 데이터 및 애플리케이션 레이어 보안 비밀
- Looker(Google Cloud 핵심 서비스)
- Pub/Sub
- Secret Manager
- Speaker ID (제한된 GA)
- Vertex AI
- Workflows
고려사항
Cloud EKM 키를 사용하는 경우 Google은 외부 키 관리 파트너 시스템에서 외부 관리 키의 가용성을 제어 할 수 없습니다. Google Cloud 외부에서 관리하는 키를 분실한 경우 Google에서 데이터를 복구할 수 없습니다.
Cloud EKM 키의 위치를 선택할 때 외부 키 관리 파트너 및 리전에 대한 가이드라인을 검토하세요.
Cloud EKM 서비스 수준 계약(SLA)을 검토하세요.
인터넷을 통해 외부 서비스와 통신하면 안정성, 가용성, 지연 시간 문제가 발생할 수 있습니다. 이러한 유형의 위험에 취약한 애플리케이션의 경우 Cloud HSM 또는 Cloud KMS를 사용하여 키 자료를 저장하는 것이 좋습니다.
외부 키를 사용할 수 없는 경우 Cloud KMS는
FAILED_PRECONDITION오류를 반환하고PreconditionFailure오류 세부정보를 제공합니다.데이터 감사 로깅을 사용 설정하여 Cloud EKM과 관련된 모든 오류의 레코드를 유지합니다. 오류 메시지에는 오류의 원인을 찾는 데 도움이 되는 세부정보가 포함됩니다. 일반적인 오류의 예는 외부 키 관리 파트너가 적절한 시간 내에 요청에 응답하지 않는 경우입니다.
외부 키 관리 파트너와의 지원 계약이 필요합니다. Google Cloud 지원팀은 Google Cloud 서비스의 문제만 지원할 수 있으며 외부 시스템의 문제는 직접 지원할 수 없습니다. 상호 운용성 문제를 해결하려면 양측의 지원팀과 협력해야 하는 경우가 있습니다.
Cloud EKM을 호스팅된 비공개 HSM과 함께 사용하면 Cloud KMS와 통합된 단일 테넌트 HSM 솔루션을 만들 수 있습니다. 자세한 내용은 단일 테넌트 HSM을 지원하는 Cloud EKM 파트너를 선택하고 호스팅된 비공개 HSM의 요구사항을 검토하세요.
제한사항
- 자동 순환은 지원되지 않습니다.
- API 또는 Google Cloud CLI를 사용하여 Cloud EKM 키를 만들 때는 초기 키 버전을 포함해서는 안 됩니다. Google Cloud 콘솔을 사용하여 생성된 Cloud EKM 키에는 적용되지 않습니다.
- 클라우드 KMS 작업의 할당량 외에도 Cloud EKM 작업에는 특정 할당량이 적용됩니다.
대칭 암호화 키
- 대칭 암호화 키는 다음과 같은 경우에만 지원됩니다.
- 지원되는 통합 서비스의 고객 관리 암호화 키(CMEK)
- Cloud KMS를 직접 사용한 비대칭 암호화 및 복호화
- Cloud EKM에서 외부 관리 키를 사용하여 암호화한 데이터는 Cloud EKM을 사용하지 않으면 복호화할 수 없습니다.
비대칭 서명 키
- 비대칭 서명 키는 Cloud KMS 알고리즘의 하위 집합으로 제한됩니다.
- 비대칭 서명 키는 다음과 같은 경우에만 지원됩니다.
- 비대칭 서명 알고리즘이 Cloud EKM 키에 설정된 다음에는 수정할 수 없습니다.
data필드에 서명되어야 함
외부 키 관리자 및 리전
Cloud EKM은 오류를 방지하기 위해 키에 빠르게 도달할 수 있어야 합니다. Cloud EKM 키를 만들 때 외부 키 관리 파트너 키의 위치와 지리적으로 가까운 Google Cloud 위치를 선택합니다. 파트너의 위치 사용 가능 여부에 대한 세부정보는 파트너의 문서를 참조하세요.
- 인터넷을 통한 Cloud EKM:
global을 제외한 Cloud KMS를 지원하는 모든 Google Cloud 위치에서 사용 가능 - VPC를 통한 Cloud EKM: Cloud KMS에 지원되는 리전 위치에서만 사용할 수 있습니다.
외부 키 관리 파트너의 문서를 참조하여 지원되는 위치를 확인하세요.
멀티 리전 사용
멀티 리전에서 외부 관리 키를 사용하면 멀티 메타데이터 내의 여러 데이터 센터에서 키의 메타데이터를 사용할 수 있습니다. 이 메타데이터에는 외부 키 관리 파트너와 통신하는 데 필요한 정보가 포함됩니다. 애플리케이션이 멀티 리전 내의 한 데이터 센터에서 다른 데이터 센터로 장애 조치되면 새 데이터 센터가 키 요청을 시작합니다. 새 데이터 센터에는 외부 키 관리 파트너와의 거리 및 시간 초과 가능성 등 이전 데이터 센터와 다른 네트워크 특성이 있을 수 있습니다. 선택한 외부 키 관리자가 멀티 리전의 모든 영역에 짧은 지연 시간을 제공하는 경우에만 멀티 리전을 Cloud EKM에 사용하는 것이 좋습니다.
파트너 관리형 EKM
파트너 관리형 EKM을 사용하면 EKM 시스템을 자동으로 관리하는 신뢰할 수 있는 주권 파트너를 통해 Cloud EKM을 사용할 수 있습니다. 파트너 관리형 EKM을 사용하면 파트너가 Cloud EKM에서 사용하는 키를 만들고 관리합니다. 파트너는 EKM이 주권 요구사항을 준수하도록 보장합니다.
주권 파트너를 통해 온보딩할 때 파트너는 Google Cloud 및 EKM에서 리소스를 프로비저닝합니다. 이러한 리소스에는 Cloud EKM 키를 관리하기 위한 Cloud KMS 프로젝트와 Cloud KMS에서 EKM 키 관리를 위해 구성된 VPC 연결을 통한 EKM이 포함됩니다. 파트너는 데이터 상주 요구사항에 따라 Google Cloud 위치에 리소스를 만듭니다.
각 Cloud EKM 키에는 Cloud KMS 메타데이터가 포함되어 EKM을 벗어나지 않는 외부 키 자료를 사용하여 암호화 작업을 수행하도록 EKM에 요청을 보낼 수 있습니다. 대칭 Cloud EKM 키에는 Google Cloud에서 벗어나지 않는 Cloud KMS 내부 키 자료도 포함됩니다. Cloud EKM 키의 내부 및 외부 측에 대한 자세한 내용은 이 페이지의 Cloud EKM 작동 방식을 참조하세요.
파트너 관리형 EKM에 대한 자세한 내용은 파트너 관리형 Cloud KMS 구성을 참조하세요.
Cloud EKM 사용량 모니터링
Cloud Monitoring을 사용하여 EKM 연결을 모니터링할 수 있습니다. 다음 측정항목은 EKM 사용량을 이해하는 데 도움이 됩니다.
cloudkms.googleapis.com/ekm/external/request_latenciescloudkms.googleapis.com/ekm/external/request_count
이러한 측정항목에 대한 자세한 내용은 cloudkms 측정항목을 참조하세요. 사용자는 이러한 측정항목을 추적하는 대시보드를 만들 수 있습니다. EKM 연결을 모니터링하도록 대시보드를 설정하는 방법은 EKM 사용량 모니터링을 참조하세요.
지원 받기
Cloud EKM에 문제가 발생하면 지원팀에 문의하세요.
다음 단계
VPC를 통해 EKM을 사용하도록 EKM 연결 만들기
API 사용 시작하기
Cloud KMS API 참조 읽어보기
Cloud KMS의 Logging 알아보기. Logging은 작업을 기반으로 하며 HSM 및 소프트웨어 보호 수준이 모두 있는 키에 적용됩니다.
Cloud EKM과 통합된 외부 키 관리자(EKM) 서비스 구성에 대한 권장사항은 안정적인 Cloud EKM 서비스 배포를 위한 참조 아키텍처를 참조하세요.