이 주제에서는 Cloud 외부 키 관리자(Cloud EKM)의 개요를 제공합니다. 외부 키를 만들고 관리하려면 Cloud EKM 키 관리를 참조하세요.
개요
Cloud EKM을 사용하면 지원되는 외부 키 관리 파트너 내에서 관리하는 키를 사용하여 Google Cloud 내 데이터를 보호할 수 있습니다. 지원되는 CMEK 통합 서비스에서 또는 Cloud Key Management Service API를 직접 호출하여 저장 데이터를 보호할 수 있습니다.
Cloud EKM은 다음과 같은 몇 가지 이점을 제공합니다.
주요 출처: 외부 관리 키의 위치와 배포를 제어합니다. 외부 관리 키는 Google Cloud에 캐시되거나 저장되지 않습니다. 대신 Cloud EKM은 각 요청에 대해 외부 키 관리 파트너와 직접 통신합니다.
액세스 제어: 외부 관리 키에 대한 액세스를 관리합니다. 외부 관리 키를 사용하여 Google Cloud에서 데이터를 암호화하거나 복호화하려면 Google Cloud 프로젝트에 키를 사용할 수 있는 액세스 권한을 부여해야 합니다. 언제든지 이 액세스 권한을 취소할 수 있습니다.
중앙 집중식 키 관리: 키와 액세스 정책이 보호하는 데이터가 클라우드에 있든 사내에 있든, 단일 위치 및 사용자 인터페이스에서 키와 액세스 정책을 관리할 수 있습니다.
모든 경우 키는 외부 시스템에 있으며 Google로 전송되지 않습니다.
지원되는 키 관리자
다음 외부 키 관리 파트너 시스템에 외부 키를 저장할 수 있습니다.
- 현재 지원:
지원되는 CMEK 통합 서비스
- Artifact Registry
- BigQuery
- Compute Engine
- Cloud Logging: 로그 라우터
- Cloud Spanner
- Cloud SQL
- Cloud Storage
- Dataflow Appliance 및 Dataflow Shuffle
- Dataproc
- Google Kubernetes Engine: VM 디스크의 데이터 또는 애플리케이션 레이어 보안 비밀
- Pub/Sub
- Secret Manager
작동 방식
이 섹션에서는 Cloud EKM이 외부 키와 작동하는 방식에 대한 광범위한 개요를 제공합니다. 단계별 안내에 따라 Cloud EKM 키를 생성할 수도 있습니다.
- 먼저 지원되는 외부 키 관리 파트너 시스템에서 기존 키를 만들거나 사용합니다. 이 키에는 고유 URI가 있습니다.
- 그런 다음 외부 키 관리 파트너 시스템에서 Google Cloud 프로젝트에 키를 사용할 수 있는 액세스 권한을 부여합니다.
- Google Cloud 프로젝트에서 외부 관리 키의 URI를 사용하여 Cloud EKM 키를 만듭니다.
Google Cloud 내에서 키는 보호 수준이 EXTERNAL인 다른 Cloud KMS 및 Cloud HSM 키와 함께 표시됩니다. Cloud EKM 키와 외부 키 관리 파트너 키가 함께 작동하여 데이터를 보호합니다. 외부 키는 Google에 노출되지 않습니다.
다음 다이어그램은 Cloud KMS가 키 관리 모델에 적용되는 방식을 보여줍니다. (Compute Engine 및 BigQuery를 두 가지 예시로 사용하여 전체 지원되는 서비스 목록은 여기에서 확인할 수 있습니다.)
Cloud EKM 사용 시 고려사항 및 제한사항에 대해 알아보세요.
고려사항
Cloud EKM 키를 사용하는 경우 Google은 외부 키 관리 파트너 시스템에서 외부 관리 키의 가용성을 제어 할 수 없습니다. Google Cloud 외부에서 관리하는 키를 분실한 경우 Google에서 데이터를 복구할 수 없습니다.
Cloud EKM 키의 위치를 선택할 때 외부 키 관리 파트너 및 리전에 대한 가이드라인을 검토하세요.
Cloud EKM 서비스 수준 계약(SLA)을 검토하세요.
인터넷을 통해 외부 서비스와 통신하면 안정성, 가용성, 지연 시간 문제가 발생할 수 있습니다. 이러한 유형의 위험에 취약한 애플리케이션의 경우 Cloud HSM 또는 Cloud KMS를 사용하여 키 자료를 저장하는 것이 좋습니다.
외부 키를 사용할 수 없는 경우 Cloud KMS는
FAILED_PRECONDITION오류를 반환하고PreconditionFailure오류 세부정보를 제공합니다.데이터 감사 로깅을 사용 설정하여 Cloud EKM과 관련된 모든 오류의 레코드를 유지합니다. 오류 메시지에는 오류의 원인을 찾는 데 도움이 되는 세부정보가 포함됩니다. 일반적인 오류의 예는 외부 키 관리 파트너가 적절한 시간 내에 요청에 응답하지 않는 경우입니다.
외부 키 관리 파트너와의 지원 계약이 필요합니다. Google Cloud 지원팀은 Google Cloud 서비스의 문제만 지원할 수 있으며 외부 시스템의 문제는 직접 지원할 수 없습니다. 상호 운용성 문제를 해결하려면 양측의 지원팀과 협력해야 할 수 있습니다.
Cloud EKM을 호스팅된 비공개 HSM과 함께 사용하면 Cloud KMS와 통합된 단일 테넌트 HSM 솔루션을 만들 수 있습니다. 단일 테넌트 HSM을 지원하는 Cloud EKM 파트너를 선택하고 호스팅된 비공개 HSM의 요구사항을 검토하여 자세히 알아봅니다.
제한사항
- 다음의 경우에 한해 대칭 암호화 키만 지원됩니다.
- 지원되는 통합 서비스의 고객 관리 암호화 키(CMEK)
- Cloud KMS를 직접 사용한 비대칭 암호화 및 복호화
- Cloud EKM에서 외부 관리 키를 사용하여 암호화한 데이터는 Cloud EKM을 사용하지 않으면 복호화할 수 없습니다.
- 자동 순환은 지원되지 않습니다.
- API 또는
gcloud명령줄 도구를 사용하여 Cloud EKM 키를 만들 때는 초기 키 버전을 포함해서는 안 됩니다. Cloud Console을 사용하여 생성된 Cloud EKM 키에는 적용되지 않습니다. - 클라우드 KMS 작업의 할당량 외에도 Cloud EKM 작업에는 특정 할당량이 적용됩니다.
외부 키 관리자 및 리전
Cloud EKM은 오류를 방지하기 위해 키에 빠르게 도달할 수 있어야 합니다. Cloud EKM 키를 만들 때 외부 키 관리 파트너 키의 위치와 지리적으로 가까운 Google Cloud 위치를 선택합니다. 파트너의 위치 사용 가능 여부에 대한 세부정보는 파트너의 문서를 참조하세요.
global을 제외하고 Cloud KMS를 지원하는 모든 Google Cloud 위치에서 Cloud EKM을 사용할 수 있습니다.
외부 키 관리 파트너의 문서를 참조하여 지원되는 위치를 확인하세요.
멀티 리전 사용
멀티 리전에서 외부 관리 키를 사용하면 외부 키 관리 파트너와 통신하는 데 필요한 정보를 포함한 키의 메타데이터를 멀티 리전 내의 여러 데이터 센터에서 사용할 수 있습니다. 애플리케이션이 멀티 리전 내의 한 데이터 센터에서 다른 데이터 센터로 장애 조치되면 새 데이터 센터가 키 요청을 시작합니다. 새 데이터 센터에는 외부 키 관리 파트너와의 거리 및 시간 초과 가능성 등 이전 데이터 센터와 다른 네트워크 특성이 있을 수 있습니다. 외부 키 관리 파트너가 사용 가능한 Cloud EKM 멀티 리전의 범위에 해당하는 범위를 제공하는 경우에만 Cloud EKM으로 멀티 리전을 사용하는 것이 좋습니다.
Cloud EKM용 API 추가
Cloud EKM을 지원하기 위해 Cloud Key Management Service API가 다음과 같이 변경되었습니다.
EXTERNAL이ProtectionLevel에 새 열거형 값으로 추가되었습니다.- 새로운
ExternalProtectionLevelOptions필드 유형이CryptoKeyVersion에 추가되었습니다. 이 필드 유형에는externalKeyUri라는 새 필드가 포함됩니다. EXTERNAL_SYMMETRIC_ENCRYPTION이 새CryptoKeyVersionAlgorithm으로 추가되었습니다.
다음 단계
Cloud EKM 자세히 알아보기
API 사용 시작
Cloud KMS API 참조를 확인하세요.
Cloud KMS의 Logging 알아보기 Logging은 작업을 기반으로 하며 HSM 및 소프트웨어 보호 수준이 모두 있는 키에 적용됩니다.