최근에 공지한 대로 Cloud Key Management Service(Cloud KMS)는 1~30일 후 폐기되기 전에 키가 DESTROY_SCHEDULED
상태로 유지되는 시간의 기본값을 변경합니다. 이 페이지에서는 변경사항에 대한 추가 정보와 필요에 따라 조치를 취하는 방법에 대해 설명합니다.
개요
키 버전의 폐기 요청을 제출하면 상태가 DESTROY_SCHEDULED
가 됩니다. 이 소프트 삭제 기간 동안 키 버전을 복원하여 삭제 요청을 취소할 수 있습니다. 키의 구성된 폐기 예약 기간이 지나면 키 버전의 상태가 DESTROYED
가 되고 고객이 키 자료를 복구할 수 없습니다.
Cloud KMS는 1~30일 후 폐기되기 전에 키가 DESTROY_SCHEDULED
상태로 유지되는 시간의 기본값을 변경합니다.
이 변경사항은 더 긴 기간의 필요성을 나타내는 다양한 소스의 의견을 반영합니다. 새 기본값은 실수로 폐기한 키를 늦기 전에 복원하는 데 도움이 되므로 실수로 인한 또는 악의적인 키 삭제의 전반적인 위험을 줄일 수 있습니다.
타임라인
날짜 | 어떤 점이 달라지나요? |
---|---|
선택 해제 절차를 통해 모든 기존 키(2024년 2월 1일 이전에 생성)의 기본 예약 기간을 변경하지 않고 유지할 수 있습니다. | |
커스텀 폐기 예약 기간 없이 생성되는 모든 새 키는 새로운 30일 기본 기간을 사용합니다. | |
이 날짜까지 조치를 취하지 않으면 커스텀 폐기 예약 기간 값이 지정되지 않은 기존 키가 새 30일 기본값을 사용하도록 업데이트됩니다. |
필요한 작업
다음 목록에서 요구사항에 가장 적합한 작업을 선택합니다.
이전 기본값인 1일을 사용하는 기존 키에 대해 새 기본 폐기 예약 기간인 30일을 수락하려면 별도의 조치를 취할 필요가 없습니다. 폐기 예약 기간이 1일인 기존 키는 자동으로 30일로 업데이트됩니다. 이 마이그레이션은 2024년 5월 1일에 시작될 예정입니다. 마이그레이션은 해당 날짜로부터 2주 이내에 완료될 예정입니다.
새 키의 기본 폐기 예약 기간인 30일을 수락하기 위해 별도의 조치를 취할 필요는 없습니다. 커스텀 폐기 예약 기간이 지정되지 않은 새 키는 기본값 30일을 사용하여 생성됩니다. Google Cloud 콘솔에서 배너를 닫을 수 있습니다.
기존 키(2024년 2월 1일 이전에 만든)의 이전 폐기 예약 기간을 1일로 유지하려면 기본 폐기 예약 기간 업데이트를 선택 해제합니다. 자세한 내용은 이 페이지의 기존 키 업데이트 선택 해제를 참조하세요.
새 키의 기존 폐기 예약 기간을 1일로 유지하려면 키 생성 중 폐기 예약 기간을 1일로 지정합니다. 2024년 2월 1일 또는 그 이후에 생성된 모든 키에 대해 폐기 예약 기간을 설정합니다. 자세한 안내는 '폐기 예약됨' 상태 유지 기간 설정을 참조하세요.
기존 키 업데이트 선택 해제
기존 키의 이전 기본값을 유지하려면 2024년 5월 1일까지 Google Cloud 콘솔 또는 gcloud CLI를 통해 프로젝트를 선택 해제할 수 있습니다.
- 직접 새
cloudkms.locations.optOutKeyDeletionMsa
IAM 권한을 부여합니다. 이 권한은 기존cloudkms.admin
IAM 역할의 일부입니다. 다음 방법 중 하나를 사용하여 선택 해제합니다.
Google Cloud 콘솔의 키 관리 페이지에서 배너를 사용합니다.
kms key-deletion-opt-out
명령어를 실행하여 개별 프로젝트를 선택 해제합니다.gcloud alpha kms key-deletion-opt-out --project=projects/PROJECT_ID
PROJECT_ID
를 프로젝트의 ID로 바꿉니다.bash 스크립트를 사용하여 조직의 모든 프로젝트에서
kms key-deletion-opt-out
명령어를 실행합니다.#!/bin/bash for project_id in $( gcloud asset search-all-resources \ --scope=organizations/ORGANIZATION_ID \ --query="name://cloudresourcemanager.googleapis.com/projects" \ --read-mask=project \ | awk '{ print $2 }' | sed '/^$/d' ); do $(gcloud alpha kms key-deletion-opt-out --project=$project_id) done
ORGANIZATION_ID
를 조직의 ID로 바꿉니다.
기존 키 업데이트 선택 해제 실행취소
실수로 선택 해제하면 명령어 끝에 --undo
플래그를 추가하여 gcloud CLI를 통해서만 다시 선택할 수 있으며 예를 들어 단일 프로젝트의 경우 다음 명령어를 사용하여 선택 해제를 실행취소합니다.
gcloud alpha kms key-deletion-opt-out --project=projects/PROJECT_ID --undo
새로운 소식
- 조직 정책을 사용하여 키 폐기를 제어하는 방법 자세히 알아보기