Cloud KMS Autokey 사용 설정

이 페이지에서는 리소스 폴더에서 Cloud KMS Autokey를 사용 설정하고 구성하는 방법을 보여줍니다. Autokey에 대한 자세한 내용은 Autokey 개요를 참조하세요. 이 페이지의 단계는 보안 관리자가 완료해야 합니다.

시작하기 전에

Cloud KMS Autokey를 사용 설정하려면 먼저 다음이 필요합니다.

  • Autokey를 사용 설정할 폴더가 포함된 조직 리소스. Autokey를 사용 설정할 폴더가 없으면 새 리소스 폴더를 생성할 수 있습니다. 이 폴더에서 Autokey를 사용 설정하면 폴더 내의 모든 리소스 프로젝트에 Autokey가 사용 설정됩니다.
  • Autokey를 사용하려는 리소스 프로젝트가 있지만 해당 프로젝트가 Autokey를 사용 설정할 폴더 내에 있지 않은 경우 기존 리소스 프로젝트를 새 폴더로 이동할 수 있습니다.

필요한 역할

Autokey를 사용 설정하고 구성하는 데 필요한 권한을 얻으려면 관리자에게 조직 또는 폴더에 대한 다음 IAM 역할을 부여해 달라고 요청하세요.

역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

이러한 사전 정의된 역할에는 Autokey를 사용 설정하고 구성하는 데 필요한 권한이 포함되어 있습니다. 필요한 정확한 권한을 보려면 필수 권한 섹션을 펼치세요.

필수 권한

Autokey를 사용 설정하고 구성하려면 다음 권한이 필요합니다.

  • cloudkms.autokeyConfigs.*
  • cloudkms.projects.showEffectiveAutokeyConfig
  • resourcemanager.folders.get
  • resourcemanager.folders.getIamPolicy
  • resourcemanager.folders.setIamPolicy
  • billing.resourceAssociations.create

커스텀 역할이나 다른 사전 정의된 역할을 사용하여 이 권한을 부여받을 수도 있습니다.

Autokey 사용 설정 방법 결정

Terraform으로 필요한 구성을 변경하여 코드형 인프라 전략의 일부로 Autokey를 사용 설정할 수 있습니다. Terraform을 사용하여 Autokey를 사용 설정하려면 이 페이지의 Terraform을 사용하여 Autokey 사용 설정을 참조하세요. Terraform을 사용하지 않으려면 다음 섹션의 안내에 따라 시작하세요.

키 프로젝트 설정

새로운 키 프로젝트를 만들어 Autokey로 생성된 Cloud KMS 리소스를 포함하는 것이 좋습니다. 조직 리소스 내에 키 프로젝트를 만들어야 합니다. Autokey로 생성된 키에 사용할 키 프로젝트가 이미 있는 경우 키 프로젝트 만들기 섹션을 건너뛰고 이 페이지의 Autokey 키 프로젝트 구성을 계속할 수 있습니다.

키 프로젝트는 Autokey를 사용 설정하려는 동일한 폴더 내에 만들 수 있습니다. 키 프로젝트 내에 다른 리소스를 만들어서는 안 됩니다. 키 프로젝트에서 Autokey로 보호되는 리소스를 만들려고 하면 Autokey가 새 키 요청을 거부합니다.

나중에 Assured Workloads로 마이그레이션하려는 경우 이러한 키로 보호되는 리소스와 동일한 폴더 내에 키 프로젝트를 만듭니다.

조직에서 constraints/gcp.restrictCmekCryptoKeyProjects 조직 정책 제약조건을 사용하여 모든 CMEK가 지정된 키 프로젝트에 속하는지 확인하는 경우 키 프로젝트를 허용된 프로젝트 목록에 추가해야 합니다. CMEK 조직 정책에 대한 자세한 내용은 CMEK 조직 정책을 참조하세요.

키 프로젝트 만들기

콘솔

  1. Google Cloud 콘솔에서 리소스 관리 페이지로 이동합니다.

    리소스 관리로 이동

  2. 조직 선택에서 프로젝트를 만들려는 조직 리소스를 선택합니다.
  3. 프로젝트 만들기를 클릭합니다.
  4. 새 프로젝트 창이 나타나면 프로젝트 이름을 입력하고 결제 계정을 선택합니다. 프로젝트 이름은 문자, 숫자, 작은 따옴표, 하이픈, 공백 또는 느낌표만 포함할 수 있으며, 4~30자(영문 기준)여야 합니다.
  5. 위치에서 키 프로젝트의 상위 요소가 될 리소스를 선택합니다.
  6. 프로젝트 만들기를 완료하려면 만들기를 클릭합니다.

gcloud

  • 새 프로젝트를 만듭니다.

    gcloud projects create PROJECT_ID \
        --PARENT_TYPE=PARENT_ID
    

    다음을 바꿉니다.

    • PROJECT_ID: 키링이 포함된 프로젝트의 ID입니다.
    • PARENT_TYPE: 새 키 프로젝트를 만들려는 리소스의 유형입니다. organization을 입력하여 지정된 조직에 새 키 프로젝트를 만들거나 folder를 입력하여 지정된 폴더 아래에 새 키 프로젝트를 만듭니다.
    • PARENT_ID: 키 프로젝트를 만들려는 조직 또는 폴더의 ID입니다.

Autokey 키 프로젝트 준비

콘솔

  1. 키 프로젝트에서 Cloud KMS API를 사용 설정합니다.

    API 사용 설정

  2. 새 키 프로젝트를 사용하는 경우 키 프로젝트에 대한 Cloud KMS 관리자 권한을 부여합니다. 다음 단계를 반복하여 본인 및 다른 Cloud KMS 관리자 사용자에게 Cloud KMS 관리자 역할을 부여합니다.

    1. Google Cloud 콘솔에서 IAM 페이지로 이동합니다.

      IAM으로 이동

    2. 키 프로젝트를 선택합니다.

    3. 액세스 권한 부여를 클릭한 다음 사용자의 이메일 주소를 입력합니다.

    4. Cloud KMS 관리자 역할을 선택합니다.

    5. 저장을 클릭합니다.

gcloud

  1. 키 프로젝트에서 Cloud KMS API를 사용 설정합니다.

    gcloud services enable cloudkms.googleapis.com
    
  2. 키 프로젝트에 Cloud KMS 관리자 권한을 부여합니다. 다음 명령어를 반복하여 자신과 다른 Cloud KMS 관리자 사용자에게 roles/cloudkms.admin 역할을 부여합니다.

    gcloud projects add-iam-policy-binding PROJECT_NUMBER \
        --role=roles/cloudkms.admin \
        --member=user:KEY_ADMIN_EMAIL
    

    다음을 바꿉니다.

    • PROJECT_NUMBER: 키 프로젝트의 프로젝트 번호입니다.
    • KEY_ADMIN_EMAIL: Cloud KMS 키 관리를 담당하는 사용자의 이메일 주소입니다.

리소스 폴더에서 Cloud KMS Autokey 사용 설정

콘솔

  1. Google Cloud 콘솔에서 KMS 제어 페이지로 이동합니다.

    KMS 제어로 이동

  2. 컨텍스트 선택 도구에서 Autokey를 사용 설정할 폴더를 선택합니다.

  3. 사용 설정을 클릭합니다.

  4. 키 프로젝트를 선택한 다음 제출을 클릭합니다.

    폴더에 Cloud KMS Autokey가 사용 설정되었음을 확인하는 메시지가 표시됩니다.

API

Autokey를 사용 설정할 폴더의 AutokeyConfig를 만듭니다.

curl "https://cloudkms.googleapis.com/v1/folders/FOLDER_ID/autokeyConfig?updateMask=keyProject" \
    --request "PATCH" \
    --header "authorization: Bearer TOKEN" \
    --header "content-type: application/json" \
    --data '{"key_project": "projects/PROJECT_ID"}'

다음을 바꿉니다.

  • FOLDER_ID: Autokey를 사용 설정할 폴더의 ID입니다.
  • PROJECT_ID: 키 프로젝트의 ID입니다.

Cloud KMS 서비스 에이전트 설정

키 프로젝트의 Cloud KMS 서비스 에이전트는 키를 만들고 Cloud KMS 관리자를 대신하여 리소스 생성 중에 IAM 정책 바인딩을 적용합니다. 키를 만들고 할당하려면 Cloud KMS 서비스 에이전트에 Cloud KMS 관리자 권한이 필요합니다.

  1. Cloud KMS 서비스 에이전트를 만듭니다.

    gcloud beta services identity create --service=cloudkms.googleapis.com \
        --project=PROJECT_NUMBER
    

    PROJECT_NUMBER를 키 프로젝트의 프로젝트 번호로 바꿉니다.

    출력은 다음과 비슷합니다.

    Service identity created: service-PROJECT_NUMBER@gcp-sa-ekms.iam.gserviceaccount.com
    

    명령어의 출력은 gcp-sa-ekms 하위 도메인이 있는 Cloud EKM 서비스 계정이 생성되었음을 나타냅니다. 그러나 이 명령어는 이 안내의 뒷부분에서 사용할 서비스 에이전트인 Cloud KMS 서비스 에이전트(gcp-sa-cloudkms 하위 도메인 포함)도 만듭니다.

  2. 서비스 에이전트에 Cloud KMS 관리자 권한을 부여합니다.

    gcloud projects add-iam-policy-binding PROJECT_NUMBER \
        --role=roles/cloudkms.admin \
        --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-cloudkms.iam.gserviceaccount.com
    

    PROJECT_NUMBER를 키 프로젝트의 프로젝트 번호로 바꿉니다.

Autokey 사용자 역할 부여

개발자가 Autokey를 사용할 수 있도록 하려면 우선 개발자에게 필요한 역할을 부여해야 합니다. 폴더 수준 또는 프로젝트 수준에서 역할을 부여할 수 있습니다. 이 역할을 통해 개발자는 해당 폴더 또는 프로젝트에서 리소스를 만드는 동안 Cloud KMS 서비스 에이전트의 키를 요청할 수 있습니다.

다음 단계 중 하나 또는 둘 모두를 선택합니다.

  • 폴더 수준에서 roles/cloudkms.autokeyUser 역할을 부여합니다.

    gcloud resource-manager folders add-iam-policy-binding \
        FOLDER_ID --role=roles/cloudkms.autokeyUser \
        --member=user:USER_EMAIL
    

    다음을 바꿉니다.

    • FOLDER_ID: Autokey를 사용 설정할 폴더의 ID입니다.
    • USER_EMAIL: Autokey 사용 권한을 부여할 사용자의 이메일 주소입니다.
  • 프로젝트 수준에서 roles/cloudkms.autokeyUser 역할을 부여합니다.

    gcloud projects add-iam-policy-binding PROJECT_ID \
        --role=roles/cloudkms.autokeyUser \
        --member=user:USER_EMAIL
    

    다음을 바꿉니다.

    • PROJECT_ID: 리소스 프로젝트의 ID입니다.
    • USER_EMAIL: Autokey 사용 권한을 부여할 사용자의 이메일 주소입니다.

이제 Autokey 개발자가 필요 시 키를 만들 수 있습니다. Autokey에서 필요 시 생성된 키를 사용하여 보호되는 리소스를 만드는 방법을 알아보려면 Autokey를 사용하여 보호되는 리소스 만들기를 참조하세요.

Terraform을 사용하여 Autokey 사용 설정

다음 Terraform 샘플은 다음과 같은 설정 단계를 자동화합니다.

  • 리소스 폴더 만들기
  • 키 프로젝트 만들기
  • 사용자에게 권한 부여
  • Cloud KMS 서비스 에이전트 설정
  • Autokey 사용 설정

리소스 폴더 내에 리소스 프로젝트를 별도로 만들어야 합니다.

variable "organization_ID" {
  description = "Your Google Cloud Org ID"
  type        = string
  default     = "ORGANIZATION_ID"
}

variable "billing_account" {
  description = "Your Google Cloud Billing Account ID"
  type        = string
  default     = "BILLING_ACCOUNT_ID"
}

/* List the users who should have the authority to enable and configure
   Autokey at a folder level */
variable "autokey_folder_admins" {
  type    = list(string)
  default = [AUTOKEY_ADMIN_USER_IDS]
}

/* List the users who should have the authority to protect their resources
   with Autokey */
variable "autokey_folder_users" {
  type    = list(string)
  default = [AUTOKEY_DEVELOPER_USER_IDS]
}

/* List the users who should have the authority to manage crypto operations in
   the Autokey key project */
variable "autokey_project_kms_admins" {
  type    = list(string)
  default = [KEY_PROJECT_ADMIN_USER_IDS]
}

/* The project ID to use for the key project. The project ID must be 6 to 30
   characters with lowercase letters, digits, hyphens. The project ID must start
   with a letter. Trailing hyphens are prohibited */
variable "key_management_project_ID" {
  description = "Sets the project ID for the Key Management Project. This project will contain the Key Rings and Keys generated by Cloud KMS Autokey"
  type        = string
  default     = "KEY_PROJECT_ID"
}

# Create a new folder
resource "google_folder" "autokey_folder" {
  parent       = "organizations/${var.organization_ID}"
  display_name = "autokey_folder"
}

# Set permissions for key admins to use Autokey in this folder
resource "google_folder_iam_binding" "autokey_folder_admin" {
  folder  = google_folder.autokey_folder.name
  role    = "roles/cloudkms.autokeyAdmin"
  members = var.autokey_folder_admins
}

# Set permissions for users to protect resources with Autokey in this folder
resource "google_folder_iam_binding" "autokey_folder_users" {
  folder  = google_folder.autokey_folder.name
  role    = "roles/cloudkms.autokeyUser"
  members = var.autokey_folder_users
}

# Create a key project to store keys created by Autokey
 resource "google_project" "key_management_project" {
  project_id      = var.key_management_project_ID
  name            = var.key_management_project_ID
  billing_account = var.billing_account
  folder_id       = google_folder.autokey_folder.name
}

output "project_number" {
  value = google_project.key_management_project.number
}

# Grant role for Cloud KMS admins to use Autokey in the key project
resource "google_project_iam_binding" "autokey_project_admin" {
  project    = google_project.key_management_project.project_id
  role       = "roles/cloudkms.admin"
  members    = var.autokey_project_kms_admins
  depends_on = [ google_project.key_management_project ]
}

# Enable the Cloud KMS API in the key project
resource "google_project_service" "enable_api" {
  service                    = "cloudkms.googleapis.com"
  project                    = google_project.key_management_project.project_id
  disable_on_destroy         = false
  disable_dependent_services = false
  depends_on                 = [google_project.key_management_project]
}

# Create Cloud KMS service agent
resource "google_project_service_identity" "KMS_Service_Agent" {
  provider   = google-beta
  service    = "cloudkms.googleapis.com"
  project    = google_project.key_management_project.project_id
  depends_on = [google_project.key_management_project]
}

/* Grant role for the Cloud KMS service agent to use delegated
   Cloud KMS admin permissions */
resource "google_project_iam_member" "autokey_project_admin" {
  project = google_project.key_management_project.project_id
  role    = "roles/cloudkms.admin"
  member  = "serviceAccount:service-${google_project.key_management_project.number}@gcp-sa-cloudkms.iam.gserviceaccount.com"
}

/* Enable AutokeyConfig in this folder */
resource "google_kms_autokey_config" "autokey_config" {
  provider    = google-beta
  folder      = google_folder.autokey_folder.folder_id
  key_project = "projects/${google_project.key_management_project.project_id}"
}

다음을 바꿉니다.

  • BILLING_ACCOUNT_ID: Google Cloud 결제 계정 ID입니다. 결제 계정 ID는 대시로 구분된 18자리 영숫자 값입니다(예: 010101-F0FFF0-10XX01).
  • AUTOKEY_ADMIN_USER_IDS: roles/cloudkms.autokeyAdmin 역할을 부여할 사용자의 이메일 주소 목록입니다(예: "Ariel@example.com", "Charlie@example.com").
  • AUTOKEY_DEVELOPER_USER_IDS: roles/cloudkms.autokeyUser 역할을 부여할 사용자의 이메일 주소 목록입니다(예: "Kalani@example.com", "Mahan@example.com").
  • KEY_PROJECT_ADMIN_USER_IDS: roles/cloudkms.admin 역할을 부여할 사용자의 이메일 주소 목록입니다(예: "Sasha@example.com", "Nur@example.com").
  • KEY_PROJECT_ID: 키 프로젝트에 사용할 ID입니다(예: autokey-key-project).

Autokey 사용 적용

폴더 내에서 Autokey 사용을 적용하려면 IAM 액세스 제어를 CMEK 조직 정책과 결합하면 됩니다. 이 기능은 Cloud KMS 서비스 에이전트가 아닌 주 구성원에서 키 생성 권한을 삭제한 후 Autokey 키 프로젝트를 사용하여 CMEK로 모든 리소스를 보호하도록 요구하는 방식으로 작동합니다.

폴더 내에서 Autokey 사용을 적용하려면 다음 단계를 완료합니다.

  1. 키 프로젝트에서 키를 수동으로 만들 수 있는 액세스 권한을 삭제합니다. 키를 수동으로 만들 수 없는 경우 Autokey로 생성된 키만 이 프로젝트에 만들 수 있습니다. 액세스 제어에 대한 자세한 내용은 IAM으로 액세스 제어를 참조하세요.

  2. constraints/gcp.restrictNonCmekServices 제약조건을 사용하여 리소스를 CMEK로 보호하도록 요구하는 조직 정책을 폴더에 설정합니다. 자세한 내용은 CMEK 보호 요구를 참조하세요.

  3. constraints/gcp.restrictCmekCryptoKeyProjects 제약조건을 사용하여 CMEK에 사용되는 키를 Autokey 키 프로젝트에서 가져오도록 요구하는 조직 정책을 폴더에 설정합니다. 자세한 내용은 CMEK에 대한 Cloud KMS 키 사용 제한을 참조하세요.

Autokey 사용 중지

Cloud KMS Autokey가 폴더 수준에서 사용 설정 및 사용 중지됩니다. 폴더에 Autokey를 사용 설정할 수 있는 동일한 역할이 해당 폴더에서 Autokey를 사용 중지할 수 있습니다. 폴더에서 Autokey를 사용 중지하려면 AutokeyConfig를 삭제하여 폴더와 Autokey 키 프로젝트 간의 연결을 삭제해야 합니다.

폴더의 Autokey 구성이 삭제되면 Cloud KMS 서비스 에이전트가 폴더에 리소스를 만들 때 더 이상 개발자의 키를 만들 수 없습니다. 폴더와 키 프로젝트 사이의 링크를 삭제하면 폴더에서 Autokey가 사용 중지됩니다. 하지만 roles/cloudkms.autokeyAdminroles/cloudkms.autokeyUser 역할에 대한 IAM 바인딩도 삭제하는 것이 좋습니다.

Autokey를 사용 중지해도 키 프로젝트의 기존 키는 영향을 받지 않습니다. 이러한 키를 계속 사용하여 리소스를 보호할 수 있습니다.

AutokeyConfig 지우기

콘솔

  1. Google Cloud 콘솔에서 KMS 제어 페이지로 이동합니다.

    KMS 제어로 이동

  2. 컨텍스트 선택 도구에서 Autokey를 사용 중지할 폴더를 선택합니다.

  3. 사용 중지를 클릭합니다.

    Autokey를 사용 중지할지 확인하는 메시지가 표시됩니다.

  4. Autokey를 사용 중지하려면 확인을 클릭합니다.

    폴더에 Cloud KMS Autokey가 사용 설정되었음을 확인하는 메시지가 표시됩니다.

API

Autokey를 사용 중지하려는 폴더의 AutokeyConfig를 지웁니다.

curl "https://cloudkms.googleapis.com/v1/folders/FOLDER_ID/autokeyConfig?updateMask=keyProject" \
    --request "PATCH" \
    --header "authorization: Bearer TOKEN" \
    --header "content-type: application/json" \
    --data '{}'

다음을 바꿉니다.

  • FOLDER_ID: Autokey를 사용 중지하려는 폴더의 ID입니다.

Autokey 역할 취소

  1. 선택사항: roles/cloudkms.autokeyAdmin 역할을 취소합니다.

    gcloud resource-manager folders remove-iam-policy-binding \
        FOLDER_ID --role=roles/cloudkms.autokeyAdmin \
        --member=user:USER_EMAIL
    

    다음을 바꿉니다.

    • FOLDER_ID: Autokey를 사용 중지한 폴더의 ID입니다.
    • USER_EMAIL: Autokey 관리 권한을 취소할 사용자의 이메일 주소입니다.
  2. 선택사항: 폴더 수준에서 roles/cloudkms.autokeyUser 역할을 취소합니다.

    gcloud resource-manager folders remove-iam-policy-binding \
        FOLDER_ID --role=roles/cloudkms.autokeyUser \
        --member=user:USER_EMAIL
    

    다음을 바꿉니다.

    • FOLDER_ID: Autokey를 사용 중지한 폴더의 ID입니다.
    • USER_EMAIL: Autokey 사용 권한을 취소할 사용자의 이메일 주소입니다.
  3. 선택사항: 프로젝트 수준에서 roles/cloudkms.autokeyUser 역할을 취소합니다.

    gcloud projects remove-iam-policy-binding RESOURCE_PROJECT_NUMBER \
        --role=roles/cloudkms.autokeyUser \
        --member=user:USER_EMAIL
    

    다음을 바꿉니다.

    • RESOURCE_PROJECT_NUMBER: Autokey를 사용 중지한 폴더 내 리소스 프로젝트의 프로젝트 번호입니다.
    • USER_EMAIL: Autokey 사용 권한을 취소할 사용자의 이메일 주소입니다.
  4. 선택사항: 다른 폴더에서 Autokey의 키 프로젝트를 계속 사용하지 않으려면 Cloud KMS 서비스 에이전트의 roles/cloudkms.admin 역할을 취소하세요.

    gcloud projects remove-iam-policy-binding KEY_PROJECT_NUMBER \
        --role=roles/cloudkms.admin \
        --member=serviceAccount:service-KEY_PROJECT_NUMBER@gcp-sa-cloudkms.iam.gserviceaccount.com
    

    KEY_PROJECT_NUMBER를 키 프로젝트의 숫자 ID로 바꿉니다.

  5. 선택사항: 키 프로젝트 내에서 생성된 키를 계속 사용하지 않으려면 Cloud KMS 관리자의 roles/cloudkms.admin 역할을 취소합니다.

    gcloud projects remove-iam-policy-binding KEY_PROJECT_NUMBER \
        --role=roles/cloudkms.admin \
        --member=user:KEY_ADMIN_EMAIL
    

    다음을 바꿉니다.

    • KEY_PROJECT_NUMBER: 키 프로젝트의 프로젝트 번호입니다.
    • USER_EMAIL: Autokey 사용 권한을 취소할 사용자의 이메일 주소입니다.

다음 단계