Cloud KMS FAQ

컬렉션을 사용해 정리하기 내 환경설정을 기준으로 콘텐츠를 저장하고 분류하세요.

Cloud KMS 정보

Cloud KMS란 무엇인가요? 어떤 특징이 있나요?

Cloud Key Management Service(Cloud KMS)는 온프레미스와 동일한 방식으로 클라우드 서비스의 암호화를 관리할 수 있는 클라우드 호스팅 키 관리 서비스입니다. 암호화 키를 생성, 사용, 순환, 폐기할 수 있습니다. Cloud KMS는 ID 및 액세스 관리(IAM) 및 Cloud 감사 로그와 통합되므로 개별 키의 권한을 관리하고 키가 어떻게 사용되는지 모니터링할 수 있습니다.

보안 비밀을 저장할 수 있나요?

Cloud KMS는 키에 대한 키와 메타데이터를 저장하며 일반적인 데이터 스토리지 API는 없습니다. 보안 비밀 관리자는 Google Cloud에서 사용할 민감한 정보를 저장하고 액세스하는 데 권장됩니다.

SLA가 있나요?

예, Cloud KMS 서비스수준계약을 참조하세요.

제품에 대한 의견을 제공하려면 어떻게 하나요?

cloudkms-feedback@google.com으로 엔지니어링팀에 문의하세요.

문서에 대한 의견을 제공하려면 어떻게 하나요?

Cloud KMS 문서 화면에서 페이지 오른쪽 상단 부분의 의견 보내기를 클릭하세요. 의견 제출 양식이 열립니다.

도움이 필요한 경우 어떻게 받을 수 있나요?

사용자는 Stack Overflow에 질문을 게시할 수 있습니다. 활발한 Stack Overflow 커뮤니티 활동과 함께 Google 팀이 Stack Overflow 게시물을 적극적으로 모니터링하면서 google-cloud-kms 태그가 있는 질문에 답변합니다.

또한 사용자의 필요에 맞게 다양한 수준의 지원을 제공합니다. 추가 지원 옵션은 Google Cloud 지원 패키지를 참조하세요.

Cloud KMS에 할당량이 있나요?

예. 추가 할당량을 보거나 요청하는 등의 할당량에 대한 자세한 내용은 Cloud KMS 할당량을 참조하세요.

키, 키링 또는 키 버전의 수에는 제한이 없습니다. 또한 키링당 키 수와 키당 키 버전에는 제한이 없습니다.

Cloud KMS는 어느 국가에서 사용할 수 있나요?

Google Cloud 서비스가 지원되는 모든 국가에서 Cloud KMS를 사용할 수 있습니다.

Cloud KMS에서 생성되는 키의 종류는 무엇인가요?

키 용도 및 알고리즘을 참조하세요.

키가 HSM에 저장되나요?

보호 수준HSM인 키는 하드웨어 보안 모듈 (HSM)에 저장됩니다.

보호 수준이 SOFTWARE인 키는 소프트웨어에 저장됩니다.

HSM 백업 키는 HSM 외부에서 유지되지 않습니다.

키는 어떤 표준을 준수하나요?

Cloud KMS에서 생성된 키 및 이러한 키로 수행된 암호화 작업은 Federal Information Processing Standard(FIPS)에서 발표한 암호화 모듈 보안 요구사항 140-2를 준수합니다.

  • 보호 수준이 SOFTWARE로 생성된 키와 이러한 키로 수행된 암호화 작업은 FIPS 140-2 Level 1을 준수합니다.

  • 보호 수준이 HSM으로 생성된 키와 이러한 키로 수행된 암호화 작업은 FIPS 140-2 Level 3을 준수합니다.

  • Cloud KMS 외부에서 생성되어 가져온 키의 경우 FIPS 요구사항이 있는 고객은 키가 FIPS를 준수하는 방식으로 생성되었는지 확인해야 합니다.

키 자료는 어떻게 생성되나요?

Cloud KMS 소프트웨어 보호 키는 Google이 만든 난수 생성기(RNG)를 사용하는 Google의 공통 암호화 라이브러리를 사용하여 생성됩니다. HSM 보호 키는 FIPS 140-2 Level 3 충족이 검증된 HSM에 의해 안전하게 생성됩니다.

키 자료를 생성하는 데 사용되는 라이브러리는 무엇인가요?

Cloud KMS 키는 BoringSSL을 사용하여 암호화 알고리즘을 구현하는 Google의 공통 암호화 라이브러리로 생성됩니다. 자세한 내용은 Google 공통 암호화 라이브러리를 참조하세요.

키는 지리적 위치 하나로 제한되나요?

키는 리전에 속하지만 그 리전으로 제한되지는 않습니다. 자세한 내용은 Cloud KMS 위치를 참조하세요.

키를 자동 삭제할 수 있나요?

아니요.

키를 자동 순환할 수 있나요?

대칭 암호화에 사용되는 키의 경우, 예. 자동 순환: 키의 순환 기간 설정을 참조하세요.

비대칭 암호화 또는 비대칭 서명에 사용되는 키의 경우 자세한 내용은 비대칭 키 순환 고려사항을 참조하세요.

키 순환 시 데이터를 다시 암호화하나요? 아니라면 그 이유는 무엇인가요?

키 순환은 데이터를 자동으로 다시 암호화하지 않습니다. 데이터를 복호화할 때 Cloud KMS는 복호화에 사용할 키 버전을 알고 있습니다. 키 버전이 사용 중지되거나 폐기되지 않는 한 Cloud KMS는 해당 키로 보호되는 데이터를 복호화할 수 있습니다.

키 또는 키링을 삭제할 수 없는 이유는 무엇인가요?

리소스 이름 충돌을 방지하기 위해 키링과 키 리소스는 삭제할 수 없습니다. 키 버전도 삭제할 수 없지만, 리소스를 더 이상 사용할 수 없도록 하기 위해 키 버전 자료는 폐기할 수 있습니다. 자세한 내용은 객체의 수명을 참조하세요. 결제는 활성 키 버전 수를 기준으로 합니다. 모든 활성 키 버전 자료를 폐기하면 남아있는 키링, 키, 키 버전에 요금이 부과되지 않습니다.

키를 내보낼 수 있나요?

아니요. Cloud KMS에서 키를 내보낼 수 없도록 설계되었습니다. 이러한 키를 사용하는 모든 암호화 및 복호화는 Cloud KMS 내에서 수행되어야 합니다. 이를 통해 유출 및 오용이 방지되고 키가 사용될 때 Cloud KMS에서 감사 추적을 남길 수 있습니다.

키를 가져올 수 있나요?

예. 보호 수준HSM 또는 SOFTWARE인 키에만 가져올 수 있습니다. 자세한 내용은 키 가져오기를 참조하세요.

Cloud KMS와 별개로 다음 제품은 고객 제공 암호화 키(CSEK) 기능을 지원합니다.

제품 CSEK 주제
Compute Engine 고객 제공 암호화 키로 디스크 암호화
Cloud Storage 고객 제공 암호화 키 사용

키 버전을 폐기한 후 복원할 수 있는 기간은 어떻게 되나요?

키 버전 폐기를 예약하면 기본 기간인 24시간 이후에 실제 키 버전이 폐기됩니다. 키 버전이 폐기되기 전의 기간은 구성 가능합니다. 이 기간 동안 필요한 경우 키 버전을 복원할 수 있습니다.

24시간으로 정해진 기간을 키 폐기를 예약하기 전에 변경할 수 있나요?

예. 키가 폐기되기 전의 기간을 구성할 수 있습니다. 이 기근은 키 생성 시점에만 설정할 수 있습니다.

키를 변경하면 변경사항이 적용될 때까지 얼마나 걸리나요?

Cloud KMS 리소스에 대한 몇몇 작업은 강력한 일관성을 갖지만, 다른 일부는 최종 일관성을 가지며 전파되는 데 최대 3시간이 걸릴 수도 있습니다. 자세한 내용은 Cloud KMS 리소스 일관성을 참조하세요.

키의 상태가 PENDING_GENERATION인 이유는 무엇인가요?

키 자료 생성에 따르는 CPU 비용으로 인해 비대칭 서명 또는 비대칭 암호화 키 버전 생성에는 몇 분의 시간이 걸릴 수 있습니다. 하드웨어 보안 모듈(HSM)로 보호되는 키 버전에도 약간의 시간이 걸립니다. 새로 생성된 키 버전이 준비되면 상태는 자동으로 ENABLED로 변경됩니다.

승인 및 인증

Cloud KMS API에 인증하려면 어떻게 하나요?

클라이언트의 인증 방법은 코드가 실행 중인 플랫폼에 따라 다소 다를 수 있습니다. 자세한 내용은 API 액세스를 참조하세요.

어떤 IAM 역할을 사용해야 하나요?

최소 권한 원칙을 시행하려면 조직의 사용자 및 서비스 계정이 각자의 기능을 수행하는 데 필수적인 권한만 갖도록 합니다. 자세한 내용은 업무분장을 참조하세요.

IAM 권한이 얼마나 빨리 삭제되나요?

권한 제거는 1시간 이내에 적용됩니다.

기타

추가 인증 데이터란 무엇이며 언제 사용하나요?

추가 인증 데이터(AAD)는 암호화 또는 복호화 요청의 일부로 Cloud KMS에 전달되는 문자열로, 무결성 확인으로 사용되며 혼동된 대리인 공격으로부터 데이터를 보호하는 데 유용할 수 있습니다. 자세한 내용은 추가 인증 데이터를 참조하세요.

데이터 액세스 로그는 기본적으로 사용 설정되나요? 데이터 액세스 로그를 사용 설정하려면 어떻게 해야 하나요?

데이터 액세스 로그는 기본적으로 사용 설정되지 않습니다. 자세한 내용은 데이터 액세스 로그 사용 설정을 참조하세요.

Cloud KMS 키와 서비스 계정 키는 어떤 관계인가요?

서비스 계정 키는 Google Cloud 내의 서비스 대 서비스 인증에 사용됩니다. 서비스 계정 키는 Cloud KMS 키와 관계가 없습니다.

Cloud KMS 키와 API 키는 어떤 관계인가요?

API 키는 비공개 사용자 데이터에 액세스할 필요가 없는 특정 API를 호출할 때 사용할 수 있는 간단한 암호화된 문자열입니다. API 키는 할당량 및 결제를 위해 프로젝트와 연결된 API 요청을 추적합니다. API 키는 Cloud KMS 키와 관계가 없습니다.

Cloud HSM에 사용되는 HSM에 대한 추가 세부정보가 있나요?

현재 모든 HSM 기기는 Marvell(이전 Cavium)에서 제조됩니다. 기기의 FIPS 인증서는 NIST 웹사이트에 있습니다.