최근에 공지한 대로 Cloud Key Management Service(Cloud KMS)는 폐기되기 전에 키가 DESTROY_SCHEDULED
상태로 유지되는 시간의 기본값을 1일에서 30일로 변경합니다. 이 페이지에서는 이 변경에 대한 추가 정보와 필요에 따라 어떻게 조치를 취할 수 있는지에 대한 지침을 제공합니다.
개요
키 버전의 폐기 요청을 제출하면 state가 DESTROY_SCHEDULED
가 됩니다. 이 소프트 삭제 기간 동안은 키 버전을 복원하여 폐기 요청을 취소할 수 있습니다. 키의 구성된 폐기 예약 기간이 지나면 키 버전의 상태가 DESTROYED
가 되고 고객이 키 자료를 복구할 수 없습니다.
Cloud KMS는 키가 폐기되기 전에 DESTROY_SCHEDULED
상태를 유지하는 기간의 기본값을 1일에서 30일로 변경합니다.
이 변경사항은 더 긴 기간의 필요성을 나타내는 다양한 소스의 의견을 반영합니다. 새 기본값은 실수로 폐기한 키를 늦기 전에 복원하는 데 도움이 되므로 실수로 인한 또는 악의적인 키 삭제의 전반적인 위험을 줄일 수 있습니다.
타임라인
날짜 | 어떤 점이 달라지나요? |
---|---|
선택 해제 절차를 통해 모든 기존 키(2024년 2월 1일 이전에 생성)의 기본 예약 기간을 변경하지 않고 유지할 수 있습니다. | |
커스텀 폐기 예약 기간 없이 생성된 모든 새 키는 새로운 기본 기간인 30일을 사용합니다. | |
이 날짜까지 아무런 조치가 없으면 커스텀 폐기 예약 기간 값이 지정되지 않은 기존 키는 새로운 30일 기본값을 사용하도록 업데이트됩니다. |
필요한 작업
다음 목록에서 요구사항에 가장 적합한 작업을 선택합니다.
이전 기본값인 1일을 사용하는 기존 키에 대해 새로운 기본 폐기 예약 기간인 30일을 적용하려면 아무런 조치를 취할 필요가 없습니다. 폐기 예약 기간이 1일인 기존 키는 자동으로 30일로 업데이트됩니다. 이 이전 과정은 2024년 5월 1일에 시작될 예정이며, 2024년 6월 중순까지 완료될 것으로 예상됩니다.
새 키의 기본 폐기 예약 기간인 30일을 수락하기 위해 별도의 조치를 취할 필요는 없습니다. 커스텀 폐기 예약 기간을 지정하지 않은 새 키는 기본값인 30일을 사용하여 생성됩니다. Google Cloud 콘솔에서 배너를 닫을 수 있습니다.
기존 키(2024년 2월 1일 이전에 만든)의 이전 폐기 예약 기간을 1일로 유지하려면 기본 폐기 예약 기간 업데이트를 선택 해제합니다. 자세한 내용은 이 페이지의 기존 키 업데이트 선택 해제를 참조하세요.
새 키의 기존 폐기 예약 기간을 1일로 유지하려면 키 생성 중 폐기 예약 기간을 1일로 지정하세요. 2024년 2월 1일 이후에 생성된 모든 키에 대해 폐기 예약 기간을 설정합니다. 자세한 안내는 '폐기 예약됨' 상태 유지 기간 설정을 참조하세요.
기존 키 업데이트 선택 해제
기존 키에 대해 이전 기본값을 유지하려면 2024년 5월 1일까지 Google Cloud 콘솔 또는 gcloud CLI를 통해 프로젝트에서 선택 해제할 수 있습니다.
- 본인에게 새
cloudkms.locations.optOutKeyDeletionMsa
IAM 권한을 부여합니다. 참고로 이 권한은 기존cloudkms.admin
IAM 역할의 일부이기도 합니다. 다음 방법 중 하나를 사용하여 선택 해제하세요.
Google Cloud 콘솔의 키 관리 페이지에 있는 배너를 사용하세요.
kms key-deletion-opt-out
명령어를 실행하여 개별 프로젝트를 선택 해제합니다.gcloud alpha kms key-deletion-opt-out --project=projects/PROJECT_ID
PROJECT_ID
를 프로젝트의 ID로 바꿉니다.bash 스크립트를 사용하여 조직의 모든 프로젝트에서
kms key-deletion-opt-out
명령어를 실행합니다.#!/bin/bash for project_id in $( gcloud asset search-all-resources \ --scope=organizations/ORGANIZATION_ID \ --query="name://cloudresourcemanager.googleapis.com/projects" \ --read-mask=project \ | awk '{ print $2 }' | sed '/^$/d' ); do $(gcloud alpha kms key-deletion-opt-out --project=$project_id) done
ORGANIZATION_ID
를 조직의 ID로 바꿉니다.
기존 키 업데이트 선택 해제 실행취소
실수로 선택 해제하면 명령어 끝에 --undo
플래그를 추가하여 gcloud CLI를 통해서만 다시 선택할 수 있으며 예를 들어 단일 프로젝트의 경우 다음 명령어를 사용하여 선택 해제를 실행취소합니다.
gcloud alpha kms key-deletion-opt-out --project=projects/PROJECT_ID --undo
새로운 소식
- 조직 정책을 사용하여 키 폐기를 제어하는 방법에 대해 자세히 알아보세요.