키 버전 상태

키 버전에는 다음과 같은 상태가 있습니다.

  • 생성 대기 중(PENDING_GENERATION): (비대칭 키에만 적용) 이 키 버전은 생성되는 중이며, 아직 사용하거나, 사용 설정하거나, 사용 중지하거나, 폐기할 수 없습니다. Cloud Key Management Service는 버전이 준비되자마자 자동으로 상태를 '사용 설정됨'으로 변경합니다.

  • 가져오기 대기중(PENDING_IMPORT): (가져온 키에만 적용됩니다.) 이 키 버전은 가져오는 중이며, 아직 사용하거나, 사용 설정하거나, 사용 중지하거나, 폐기할 수 없습니다. Cloud Key Management Service는 버전이 준비되자마자 자동으로 상태를 '사용 설정됨'으로 변경합니다.

  • 사용 설정됨(ENABLED): 키 버전을 사용할 준비가 되었습니다.

  • 사용 중지됨(DISABLED): 이 키 버전은 사용할 수 없지만 키 자료는 사용할 수 있으며 버전을 다시 사용 설정할 수 있습니다.

  • 폐기 예약됨(DESTROY_SCHEDULED): 이 키 버전은 폐기하도록 예약되었으며 곧 폐기됩니다. 키 버전이 이 상태에 있으면 암호화 작업에 사용할 수 없으며 키 사용 요청이 실패합니다. 키 버전은 예약된 폐기 기간 내에 사용 중지된 상태로 복원할 수 있습니다. 이 상태는 데이터 삭제 파이프라인의 2단계 - 소프트 삭제에 해당합니다.

  • 폐기됨(DESTROYED): 이 키 버전이 폐기되고, 키 자료가 더 이상 Cloud KMS에 저장되지 않습니다. 키 버전이 비대칭적 암호화 또는 대칭적 암호화에 사용된 경우, 이 버전으로 암호화된 모든 암호문은 복구할 수 없습니다. 키 버전이 디지털 서명에 사용된 경우 새로운 서명을 만들 수 없습니다. 또한 모든 비대칭 키 버전에 대해 더 이상 공개 키를 다운로드할 수 없습니다. 키 버전이 일단 폐기됨 상태가 되면 이 상태를 벗어날 수 없습니다. 이 상태는 데이터 삭제 파이프라인에서 3단계 - 활성 시스템에서 논리적 삭제에 해당합니다. 이는 모든 활성 Cloud KMS 시스템에서 키 자료가 삭제됨을 의미합니다. 모든 Google 활성 및 백업 시스템에서 키 자료를 삭제하려면 삭제 시점으로부터 45일이 걸립니다. 자세한 내용은 Cloud KMS 삭제 타임라인을 참조하세요.

  • 가져오기 실패(IMPORT_FAILED): 이 키 버전을 가져올 수 없습니다. 가져오기 실패의 원인이 되는 조건에 대한 자세한 내용은 실패한 가져오기 문제 해결을 참조하세요.

키 버전의 상태 변경

다음은 키 버전의 상태를 변경하는 방법에 대한 설명입니다.

  • 비대칭 키의 키 버전이 생성되면 생성 대기 중 상태로 시작합니다. Cloud KMS에서 키 버전 생성을 완료하면 상태가 자동으로 '사용 설정됨'으로 바뀝니다.

  • 대칭 키의 키 버전이 생성되면 사용 설정됨 상태로 시작합니다.

  • 키 버전은 UpdateCryptoKeyVersion과 이 메서드의 인터페이스를 사용하여 사용 설정됨에서 사용 중지됨으로, 그리고 사용 중지됨에서 사용 설정됨으로 이동할 수 있습니다. 예시는 키 버전 사용 설정 및 사용 중지를 참조하세요.

  • 사용 설정됨 또는 사용 중지됨 상태의 키 버전은 DestroyCryptoKeyVersion 및 이 메서드의 인터페이스를 사용하여 폐기 예약됨으로 이동할 수 있습니다. 예시는 키 버전 폐기 예약을 참조하세요.

  • 폐기가 예약된 키 버전은 RestoreCryptoKeyVersion 및 이 메서드의 인터페이스를 사용하여 사용 중지 상태로 되돌릴 수 있습니다. 예시는 키 버전 복원을 참조하세요.

다음 다이어그램은 키 버전의 허용되는 상태를 보여줍니다.

키 버전 상태

비대칭 키의 키 버전만 생성 대기 중 상태로 시작합니다. 대칭 키의 키 버전은 사용 설정됨 상태로 시작합니다.

키 버전 상태가 암호화 작업에 미치는 영향

키 버전 상태가 암호화 작업에 미치는 영향은 키가 어떤 용도로 사용되는지에 따라 달라집니다.

  • 대칭적 암호화
  • 비대칭적 암호화 또는 디지털 서명

대칭적 암호화

각 대칭적 암호화 키에는 해당 시점에 데이터를 암호화하는 데 사용되는 기본 버전이 지정됩니다. 데이터를 암호화하는 데 키를 사용할 수 있으려면 사용 설정된 기본 키 버전이 있어야 합니다.

키를 사용하여 일반 텍스트를 암호화하는 경우 해당 데이터를 암호화하는 데는 기본 키 버전이 사용됩니다. 데이터를 암호화하는 데 어떤 버전이 사용되었는지에 대한 정보는 데이터의 암호 텍스트에 저장됩니다. 특정 시점에 하나의 키 버전만 기본 키 버전이 될 수 있습니다.

기본 키 버전이 사용 중지된 경우, 이 키 버전을 사용하여 데이터를 암호화할 수 없습니다. 사용 설정된 기본 키 버전은 사용 중지되거나, 폐기 예약되거나, 폐기될 수 있으며 사용 설정되지 않은 버전이 기본 버전이 될 수 있습니다.

어떠한 키 버전이 기본 키 버전인지는 데이터를 복호화하는 기능에 영향을 주지 않습니다. 키 버전이 사용 설정되어 있으면 데이터를 복호화하는 데 사용할 수 있습니다.

비대칭적 암호화 또는 디지털 서명

비대칭 키가 암호화 또는 디지털 서명에 사용될 때마다 키 버전을 지정해야 합니다. 키 버전을 비대칭적 암호화 또는 디지털 서명에 사용할 수 있으려면 키 버전이 사용 설정되어야 합니다. 키 버전이 사용 설정되어 있어야만 키 버전의 공개 키를 검색할 수 있습니다.

폐기 예약 상태의 변수 기간

기본적으로 Cloud KMS의 키는 키 자료가 시스템에서 논리적으로 삭제되기 전 30일 동안 폐기 예약(소프트 삭제) 상태로 유지됩니다. 이 기간은 구성이 가능하며, 다음 사항에 주의해야 합니다.

  • 기간은 키 생성 중에만 구성할 수 있습니다.
  • 지정한 다음에는 키 기간을 변경할 수 없습니다.
  • 기간은 이후에 생성되는 모든 키 버전에 적용됩니다.
  • 최소 기간은 모든 키에 대해 24시간이고, 최소 기간이 0인 가져오기 전용 키는 예외입니다.
  • 최대 기간은 120일입니다.

이 값은 CreateCryptoKeyRequest에서 CryptoKeydestroy_scheduled_duration 필드를 사용하여 구성됩니다.

특정 애플리케이션 또는 규제 요구사항에 따라 다른 값이 필요하지 않은 한 모든 키에 대해 기본 기간인 30일을 사용하는 것이 좋습니다.