키 폐기 기본 시간 MSA

최근에 공지한 대로 Cloud Key Management Service(Cloud KMS)는 1~30일 후 폐기되기 전에 키가 DESTROY_SCHEDULED 상태로 유지되는 시간의 기본값을 변경합니다. 이 페이지에서는 변경사항에 대한 추가 정보와 필요에 따라 조치를 취하는 방법에 대해 설명합니다.

개요

키 버전의 폐기 요청을 제출하면 상태가 DESTROY_SCHEDULED가 됩니다. 이 소프트 삭제 기간 동안 키 버전을 복원하여 삭제 요청을 취소할 수 있습니다. 키의 구성된 폐기 예약 기간이 지나면 키 버전의 상태가 DESTROYED가 되고 고객이 키 자료를 복구할 수 없습니다.

Cloud KMS는 1~30일 후 폐기되기 전에 키가 DESTROY_SCHEDULED 상태로 유지되는 시간의 기본값을 변경합니다.

이 변경사항은 더 긴 기간의 필요성을 나타내는 다양한 소스의 의견을 반영합니다. 새 기본값은 실수로 폐기한 키를 늦기 전에 복원하는 데 도움이 되므로 실수로 인한 또는 악의적인 키 삭제의 전반적인 위험을 줄일 수 있습니다.

타임라인

날짜	어떤 점이 달라지나요?
2023년 11월 1일	선택 해제 절차를 통해 모든 기존 키(2024년 2월 1일 이전에 생성)의 기본 예약 기간을 변경하지 않고 유지할 수 있습니다.
2024년 2월 1일	커스텀 폐기 예약 기간 없이 생성되는 모든 새 키는 새로운 30일 기본 기간을 사용합니다.
2024년 5월 1일	이 날짜까지 조치를 취하지 않으면 커스텀 폐기 예약 기간 값이 지정되지 않은 기존 키가 새 30일 기본값을 사용하도록 업데이트됩니다.

필요한 작업

다음 목록에서 요구사항에 가장 적합한 작업을 선택합니다.

• 이전 기본값인 1일을 사용하는 기존 키에 대해 새 기본 폐기 예약 기간인 30일을 수락하려면 별도의 조치를 취할 필요가 없습니다. 폐기 예약 기간이 1일인 기존 키는 자동으로 30일로 업데이트됩니다. 이 마이그레이션은 2024년 5월 1일에 시작될 예정입니다. 마이그레이션은 해당 날짜로부터 2주 이내에 완료될 예정입니다.

• 새 키의 기본 폐기 예약 기간인 30일을 수락하기 위해 별도의 조치를 취할 필요는 없습니다. 커스텀 폐기 예약 기간이 지정되지 않은 새 키는 기본값 30일을 사용하여 생성됩니다. Google Cloud 콘솔에서 배너를 닫을 수 있습니다.

• 기존 키(2024년 2월 1일 이전에 만든)의 이전 폐기 예약 기간을 1일로 유지하려면 기본 폐기 예약 기간 업데이트를 선택 해제합니다. 자세한 내용은 이 페이지의 기존 키 업데이트 선택 해제를 참조하세요.

• 새 키의 기존 폐기 예약 기간을 1일로 유지하려면 키 생성 중 폐기 예약 기간을 1일로 지정합니다. 2024년 2월 1일 또는 그 이후에 생성된 모든 키에 대해 폐기 예약 기간을 설정합니다. 자세한 안내는 '폐기 예약됨' 상태 유지 기간 설정을 참조하세요.

기존 키 업데이트 선택 해제

기존 키의 이전 기본값을 유지하려면 2024년 5월 1일까지 Google Cloud 콘솔 또는 gcloud CLI를 통해 프로젝트를 선택 해제할 수 있습니다.

1. 직접 새 cloudkms.locations.optOutKeyDeletionMsa IAM 권한을 부여합니다. 이 권한은 기존 cloudkms.admin IAM 역할의 일부입니다.

2. 다음 방법 중 하나를 사용하여 선택 해제합니다.

   • Google Cloud 콘솔의 키 관리 페이지에서 배너를 사용합니다.

   • kms key-deletion-opt-out 명령어를 실행하여 개별 프로젝트를 선택 해제합니다.

     gcloud alpha kms key-deletion-opt-out --project=projects/PROJECT_ID
     

     PROJECT_ID를 프로젝트의 ID로 바꿉니다.

   • bash 스크립트를 사용하여 조직의 모든 프로젝트에서 kms key-deletion-opt-out 명령어를 실행합니다.

     #!/bin/bash
      for project_id in $(
          gcloud asset search-all-resources \
              --scope=organizations/ORGANIZATION_ID \
              --query="name://cloudresourcemanager.googleapis.com/projects" \
              --read-mask=project \
              | awk '{ print $2 }' | sed '/^$/d'
      ); do
          $(gcloud alpha kms key-deletion-opt-out --project=$project_id)
      done
     

     ORGANIZATION_ID를 조직의 ID로 바꿉니다.

기존 키 업데이트 선택 해제 실행취소

실수로 선택 해제하면 명령어 끝에 --undo 플래그를 추가하여 gcloud CLI를 통해서만 다시 선택할 수 있으며 예를 들어 단일 프로젝트의 경우 다음 명령어를 사용하여 선택 해제를 실행취소합니다.

gcloud alpha kms key-deletion-opt-out --project=projects/PROJECT_ID --undo

새로운 소식

• 조직 정책을 사용하여 키 폐기를 제어하는 방법 자세히 알아보기