이 주제에서는 Cloud 외부 키 관리자(Cloud EKM)의 개요를 제공합니다.
용어
외부 키 관리자(EKM)
Google Cloud 외부에서 키 관리를 위해 사용하는 키 관리자입니다.
Cloud 외부 키 관리자(Cloud EKM)
지원되는 EKM 내에서 관리되는 외부 키를 사용하는 Google Cloud 서비스입니다.
인터넷을 통한 Cloud EKM
Google Cloud가 인터넷을 통해 외부 키 관리자와 통신하는 Cloud EKM 버전입니다.
VPC를 통한 Cloud EKM
Google Cloud가 Virtual Private Cloud(VPC)를 통해 외부 키 관리자와 통신하는 Cloud EKM 버전입니다. 자세한 내용은 VPC 네트워크 개요를 참조하세요.
개요
Cloud EKM을 사용하면 지원되는 외부 키 관리 파트너 내에서 관리하는 키를 사용하여 Google Cloud 내 데이터를 보호할 수 있습니다. 지원되는 CMEK 통합 서비스에서 또는 Cloud Key Management Service API를 직접 호출하여 저장 데이터를 보호할 수 있습니다.
Cloud EKM은 다음과 같은 몇 가지 이점을 제공합니다.
주요 출처: 외부 관리 키의 위치와 배포를 제어합니다. 외부 관리 키는 Google Cloud에 캐시되거나 저장되지 않습니다. 대신 Cloud EKM은 각 요청에 대해 외부 키 관리 파트너와 직접 통신합니다.
액세스 제어: 외부 관리 키에 대한 액세스를 관리합니다. 외부 관리 키를 사용하여 Google Cloud에서 데이터를 암호화하거나 복호화하려면 Google Cloud 프로젝트에 키를 사용할 수 있는 액세스 권한을 부여해야 합니다. 언제든지 이 액세스 권한을 취소할 수 있습니다.
중앙 집중식 키 관리: 키와 액세스 정책이 보호하는 데이터가 클라우드에 있든 사내에 있든, 단일 위치 및 사용자 인터페이스에서 키와 액세스 정책을 관리할 수 있습니다.
모든 경우 키는 외부 시스템에 있으며 Google로 전송되지 않습니다.
인터넷 또는 Virtual Private Cloud(VPC)를 통해 외부 키 관리자와 통신할 수 있습니다.
지원되는 키 관리자
다음 외부 키 관리 파트너 시스템에 외부 키를 저장할 수 있습니다.
지원되는 CMEK 통합 서비스
- Artifact Registry
- BigQuery
- Cloud Bigtable
- Cloud Composer
- Cloud Functions
- Cloud Logging: 로그 라우터 및 로그 스토리지
- Cloud Run
- Cloud Spanner
- Cloud SQL
- Cloud Storage
- Compute Engine(영구 디스크 포함)
- Dataflow
- Dataproc
- Dataproc Metastore
- Google Kubernetes Engine: VM 디스크의 데이터 또는 애플리케이션 레이어 보안 비밀
- Pub/Sub
- Speaker ID
- 보안 비밀 관리자
- Vertex AI
작동 방식
이 섹션에서는 Cloud EKM이 외부 키와 작동하는 방식에 대한 광범위한 개요를 제공합니다. 또한 단계별 안내를 따라 인터넷을 통해 액세스하는 Cloud EKM 키를 만들거나 VPC를 통해 액세스하는 Cloud EKM 키를 만듭니다.
- 먼저 지원되는 외부 키 관리 파트너 시스템에서 기존 키를 만들거나 사용합니다. 이 키에는 고유한 URI 또는 키 경로가 포함되어 있습니다.
- 그런 다음 외부 키 관리 파트너 시스템에서 Google Cloud 프로젝트에 키를 사용할 수 있는 액세스 권한을 부여합니다.
- Google Cloud 프로젝트에서 외부 관리 키의 URI 또는 키 경로를 사용하여 Cloud EKM 키를 만듭니다.
Google Cloud 내에서 키는 보호 수준이 EXTERNAL
또는 EXTERNAL_VPC
인 다른 Cloud KMS 및 Cloud HSM 키와 함께 표시됩니다. Cloud EKM 키와 외부 키 관리 파트너 키가 함께 작동하여 데이터를 보호합니다. 외부 키는 Google에 노출되지 않습니다.
다음 다이어그램은 (Compute Engine 및 BigQuery를 사용한 두 예시를 통해) Cloud KMS가 키 관리 모델에 적용되는 방식을 보여줍니다(지원되는 전체 서비스 목록은 여기 참조).
Cloud EKM 사용 시 고려사항 및 제한사항에 대해 알아보세요.
고려사항
Cloud EKM 키를 사용하는 경우 Google은 외부 키 관리 파트너 시스템에서 외부 관리 키의 가용성을 제어 할 수 없습니다. Google Cloud 외부에서 관리하는 키를 분실한 경우 Google에서 데이터를 복구할 수 없습니다.
Cloud EKM 키의 위치를 선택할 때 외부 키 관리 파트너 및 리전에 대한 가이드라인을 검토하세요.
Cloud EKM 서비스 수준 계약(SLA)을 검토하세요.
인터넷을 통해 외부 서비스와 통신하면 안정성, 가용성, 지연 시간 문제가 발생할 수 있습니다. 이러한 유형의 위험에 취약한 애플리케이션의 경우 Cloud HSM 또는 Cloud KMS를 사용하여 키 자료를 저장하는 것이 좋습니다.
외부 키를 사용할 수 없는 경우 Cloud KMS는
FAILED_PRECONDITION
오류를 반환하고PreconditionFailure
오류 세부정보를 제공합니다.데이터 감사 로깅을 사용 설정하여 Cloud EKM과 관련된 모든 오류의 레코드를 유지합니다. 오류 메시지에는 오류의 원인을 찾는 데 도움이 되는 세부정보가 포함됩니다. 일반적인 오류의 예는 외부 키 관리 파트너가 적절한 시간 내에 요청에 응답하지 않는 경우입니다.
외부 키 관리 파트너와의 지원 계약이 필요합니다. Google Cloud 지원팀은 Google Cloud 서비스의 문제만 지원할 수 있으며 외부 시스템의 문제는 직접 지원할 수 없습니다. 상호 운용성 문제를 해결하려면 양측의 지원팀과 협력해야 할 수 있습니다.
Cloud EKM을 호스팅된 비공개 HSM과 함께 사용하면 Cloud KMS와 통합된 단일 테넌트 HSM 솔루션을 만들 수 있습니다. 단일 테넌트 HSM을 지원하는 Cloud EKM 파트너를 선택하고 호스팅된 비공개 HSM의 요구사항을 검토하여 자세히 알아봅니다.
제한사항
- 자동 순환은 지원되지 않습니다.
- API 또는 Google Cloud CLI를 사용하여 Cloud EKM 키를 만들 때는 초기 키 버전을 포함해서는 안 됩니다. Cloud Console을 사용하여 생성된 Cloud EKM 키에는 적용되지 않습니다.
- 클라우드 KMS 작업의 할당량 외에도 Cloud EKM 작업에는 특정 할당량이 적용됩니다.
대칭 암호화 키
- 대칭 암호화 키는 다음과 같은 경우에만 지원됩니다.
- 지원되는 통합 서비스의 고객 관리 암호화 키(CMEK)
- Cloud KMS를 직접 사용한 비대칭 암호화 및 복호화
- Cloud EKM에서 외부 관리 키를 사용하여 암호화한 데이터는 Cloud EKM을 사용하지 않으면 복호화할 수 없습니다.
비대칭 서명 키
- 비대칭 서명 키는 Cloud KMS 알고리즘의 하위 집합으로 제한됩니다.
- 비대칭 서명 키는 다음과 같은 경우에만 지원됩니다.
- 비대칭 서명 알고리즘이 Cloud EKM 키에 설정된 다음에는 수정할 수 없습니다.
data
필드에 서명되어야 함
외부 키 관리자 및 리전
Cloud EKM은 오류를 방지하기 위해 키에 빠르게 도달할 수 있어야 합니다. Cloud EKM 키를 만들 때 외부 키 관리 파트너 키의 위치와 지리적으로 가까운 Google Cloud 위치를 선택합니다. 파트너의 위치 사용 가능 여부에 대한 세부정보는 파트너의 문서를 참조하세요.
- 인터넷을 통한 Cloud EKM:
global
을 제외한 Cloud KMS를 지원하는 모든 Google Cloud 위치에서 사용 가능 - VPC를 통한 Cloud EKM: Cloud KMS에 지원되는 리전 위치에서만 사용할 수 있습니다.
외부 키 관리 파트너의 문서를 참조하여 지원되는 위치를 확인하세요.
멀티 리전 사용
멀티 리전에서 외부 관리 키를 사용하면 외부 키 관리 파트너와 통신하는 데 필요한 정보를 포함한 키의 메타데이터를 멀티 리전 내의 여러 데이터 센터에서 사용할 수 있습니다. 애플리케이션이 멀티 리전 내의 한 데이터 센터에서 다른 데이터 센터로 장애 조치되면 새 데이터 센터가 키 요청을 시작합니다. 새 데이터 센터에는 외부 키 관리 파트너와의 거리 및 시간 초과 가능성 등 이전 데이터 센터와 다른 네트워크 특성이 있을 수 있습니다. 선택한 외부 키 관리자가 멀티 리전의 모든 영역에 짧은 지연 시간을 제공하는 경우에만 멀티 리전을 Cloud EKM에 사용하는 것이 좋습니다.
다음 단계
인터넷을 통한 Cloud EKM 사용 및 VPC를 통한 Cloud EKM 사용에 대해 자세히 알아보세요.
API 사용 시작
Cloud KMS API 참조를 확인하세요.
Cloud KMS의 Logging 알아보기 Logging은 작업을 기반으로 하며 HSM 및 소프트웨어 보호 수준이 모두 있는 키에 적용됩니다.
Cloud EKM과 통합된 외부 키 관리자(EKM) 서비스 구성에 대한 권장사항은 안정적인 Cloud EKM 서비스 배포를 위한 참조 아키텍처를 참조하세요.
지원 받기
Cloud EKM에 문제가 발생하면 지원팀에 문의하세요.