Cloud KMS에서 데이터를 암호화, 복호화, 서명, 확인하는 데 사용하는 암호화 키 자료는 하나의 키 버전에 저장됩니다. 키에는 0개 이상의 키 버전이 있습니다. 키를 순환할 때는 새 키 버전을 생성하세요.
이 주제에서는 키 버전을 사용 중지하는 방법을 보여줍니다. 키가 사용 중지된 기간 동안에는 해당 키로 암호화된 데이터에 액세스할 수 없습니다. 데이터에 액세스하려면 키 버전을 다시 사용 설정해야 합니다.
키 버전 사용 중지는 수초에서 3시간까지 범위 내에서 일관성을 갖습니다. 키 버전 사용 설정은 거의 즉시 적용됩니다. Identity and Access Management(IAM)를 사용하여 키 버전에 대한 액세스를 관리할 수도 있습니다. IAM 작업은 수초 범위 내에서 일관성을 갖습니다. 자세한 내용은 IAM 사용을 참조하세요.
영구적으로 키 버전을 폐기할 수도 있습니다. 조직 정책에 따라서는 키 버전을 폐기하기 전에 사용 중지해야 할 수 있습니다. 자세한 내용은 키 버전 폐기 제어를 참조하세요.
키 버전 사용 중지
사용 설정됨 상태의 키 버전을 사용 중지할 수 있습니다. 키 버전을 사용 중지하기 전에 키가 아직 사용 중인지 확인하는 것이 좋습니다. 키의 키 사용 추적 세부정보를 확인하여 키가 CMEK 리소스를 보호하는지 확인할 수 있습니다. 리소스가 사용 중지하려는 키 버전으로 보호되는 경우 키를 사용 중지하기 전에 다른 키 버전으로 다시 암호화합니다.
콘솔
Google Cloud 콘솔에서 키 관리 페이지로 이동합니다.
키 버전을 중지하려는 키가 포함된 키링의 이름을 클릭합니다.
키 버전을 사용 중지할 키를 클릭합니다.
사용 중지하려는 키 버전 옆의 체크 박스를 선택합니다.
헤더에서 사용 중지를 클릭합니다.
확인 대화상자에서 사용 중지를 클릭합니다.
gcloud
명령줄에서 Cloud KMS를 사용하려면 먼저 최신 버전의 Google Cloud CLI로 설치 또는 업그레이드하세요.
gcloud kms keys versions disable key-version \ --key key \ --keyring key-ring \ --location location
key-version을 사용 중지할 키 버전으로 바꿉니다. key를 키 이름으로 바꿉니다. key-ring을 키가 배치된 키링의 이름으로 바꿉니다. location을 키링의 Cloud KMS 위치로 바꿉니다.
모든 플래그 및 가능한 값에 대한 정보를 보려면 --help
플래그와 함께 명령어를 실행하세요.
C#
이 코드를 실행하려면 먼저 C# 개발 환경을 설정하고 Cloud KMS C# SDK를 설치합니다.
Go
이 코드를 실행하려면 먼저 Go 개발 환경을 설정하고 Cloud KMS Go SDK를 설치합니다.
Java
이 코드를 실행하려면 먼저 자바 개발 환경을 설정하고 Cloud KMS 자바 SDK를 설치합니다.
Node.js
이 코드를 실행하려면 먼저 Node.js 개발 환경을 설정하고 Cloud KMS Node.js SDK를 설치합니다.
PHP
이 코드를 실행하려면 먼저 Google Cloud에서 PHP 사용에 관해 알아보고 Cloud KMS PHP SDK 설치하세요.
Python
이 코드를 실행하려면 먼저 Python 개발 환경을 설정하고 Cloud KMS Python SDK를 설치합니다.
Ruby
이 코드를 실행하려면 먼저 Ruby 개발 환경을 설정하고 Cloud KMS Ruby SDK를 설치합니다.
요청을 제출하면 키 버전 상태가 사용 중지됨으로 변경됩니다.
사용 중지된 키 버전은 청구 대상 리소스입니다.
외부 키 사용 중지 또는 폐기
Cloud EKM 키와 외부 키 사이의 연결을 일시적으로 사용 중지하려면 Cloud EKM 키 또는 키 버전을 사용 중지할 수 있습니다. 모든 키 버전을 중지하는 것이 좋습니다. 키 사용 중지는 3시간 내에 적용됩니다.
키를 사용 중지할 때는 키에 대한 액세스 권한도 취소해야 합니다. IAM 작업은 수초 범위 내에서 일관성을 갖습니다. 외부 키 관리 파트너 시스템에서 Google Cloud 서비스 계정의 액세스 권한도 취소하는 것이 좋습니다.
Cloud EKM 키와 외부 키 사이의 연결을 영구적으로 삭제하려면 Cloud EKM 키 버전 폐기를 예약할 수 있습니다. 폐기 예약 기간이 지나면 키가 폐기됩니다. 키 버전 폐기는 영구적입니다. 키 버전이 폐기되면 Cloud EKM 키 버전으로 암호화된 데이터를 더 이상 암호화하거나 복호화할 수 없습니다. 동일한 외부 키 URI 또는 키 경로를 사용하는 경우에도 폐기된 Cloud EKM 키 버전을 다시 만들 수 없습니다. 외부 키 자료를 폐기할 때는 Google Cloud에서 키 또는 키 버전을 먼저 폐기하고, Cloud EKM 키를 폐기한 후 외부 키 관리자에서 키 자료를 폐기하는 것이 좋습니다.
Cloud KMS에서 키 또는 키 버전을 사용 중지해도 외부 키 관리 파트너 시스템의 키는 수정되지 않습니다.
Cloud KMS에서 수동으로 관리되는 키 버전을 폐기해도 외부 키 관리 파트너 시스템의 키는 수정되지 않습니다. Cloud KMS에서 조정된 외부 키 버전을 폐기하면 내부 키 자료가 폐기되고 외부 키 관리 파트너 시스템에 요청을 보내 외부 키 자료를 폐기합니다.
키 버전 사용 설정
사용 중지됨 상태의 키 버전을 사용 설정할 수 있습니다.
콘솔
Google Cloud 콘솔에서 키 관리 페이지로 이동합니다.
키 버전을 사용 설정하려는 키가 포함된 키링의 이름을 클릭합니다.
키 버전을 사용 설정할 키를 클릭합니다.
사용 설정하려는 키 버전 옆에 있는 상자를 선택합니다.
헤더에서 사용 설정을 클릭합니다.
확인 대화상자에서 사용을 클릭합니다.
gcloud
명령줄에서 Cloud KMS를 사용하려면 먼저 최신 버전의 Google Cloud CLI로 설치 또는 업그레이드하세요.
gcloud kms keys versions enable key-version \ --key key \ --keyring key-ring \ --location location
key-version을 사용 설정할 키 버전으로 바꿉니다. key를 키 이름으로 바꿉니다. key-ring을 키가 배치된 키링의 이름으로 바꿉니다. location을 키링의 Cloud KMS 위치로 바꿉니다.
모든 플래그 및 가능한 값에 대한 정보를 보려면 --help
플래그와 함께 명령어를 실행하세요.
C#
이 코드를 실행하려면 먼저 C# 개발 환경을 설정하고 Cloud KMS C# SDK를 설치합니다.
Go
이 코드를 실행하려면 먼저 Go 개발 환경을 설정하고 Cloud KMS Go SDK를 설치합니다.
Java
이 코드를 실행하려면 먼저 자바 개발 환경을 설정하고 Cloud KMS 자바 SDK를 설치합니다.
Node.js
이 코드를 실행하려면 먼저 Node.js 개발 환경을 설정하고 Cloud KMS Node.js SDK를 설치합니다.
PHP
이 코드를 실행하려면 먼저 Google Cloud에서 PHP 사용에 관해 알아보고 Cloud KMS PHP SDK 설치하세요.
Python
이 코드를 실행하려면 먼저 Python 개발 환경을 설정하고 Cloud KMS Python SDK를 설치합니다.
Ruby
이 코드를 실행하려면 먼저 Ruby 개발 환경을 설정하고 Cloud KMS Ruby SDK를 설치합니다.
요청을 제출하면 키 버전 상태가 사용 설정됨으로 변경됩니다.
필수 IAM 권한
키 버전을 사용 설정 또는 사용 중지하려면 호출자에게 키, 키링 또는 프로젝트, 폴더 또는 조직에 대한 cloudkms.cryptoKeyVersions.update
Cloud IAM 권한이 필요합니다.
이 권한은 Cloud KMS 관리자 역할(roles/cloudkms.admin
)에 부여됩니다.