키 추적 대시보드 사용

컬렉션을 사용해 정리하기 내 환경설정을 기준으로 콘텐츠를 저장하고 분류하세요.

Cloud KMS 키 추적 대시보드는 조직에서 KMS 키에 따라 종속되고 보존되는 클라우드 리소스를 보여줍니다. 키 추적 대시보드에는 다른 Google Cloud 리소스 및 서비스에 사용되는 키가 표시됩니다.

키 추적 대시보드 구성

다음 단계에 따라 키 추적 대시보드를 사용 설정합니다.

  1. Google Cloud 콘솔에서 키 관리 페이지로 이동합니다.

    키 관리 페이지로 이동

  2. 키링 또는 키 인벤토리를 클릭하여 키에 액세스합니다.

  3. 키 이름을 클릭하여 선택한 키의 세부정보 페이지로 이동합니다. 사용량 추적이라는 탭이 표시됩니다.

  4. 사용량 추적 탭을 클릭합니다. 해당 키의 키 추적 대시보드가 열립니다. 대시보드를 사용하기 전 서비스 계정에 권한을 부여해야 한다는 오류가 표시됩니다. 조직에서 resourcemanager.organizations.setIamPolicy 권한이 있는 사용자만 키 추적 대시보드를 사용 설정할 수 있습니다. 조직 관리자 (roles/resourcemanager.organizationAdmin)보안 관리자 (roles/iam.securityAdmin) 역할에 이 권한이 포함되어 있습니다.

  5. 대시보드 및 액세스 키 사용 추적을 사용 설정하려면 조직 관리자 또는 보안 관리자가 Cloud KMS 서비스 에이전트(cloudkms.orgServiceAgent) 역할을 사용하여 Cloud KMS 서비스 계정을 프로비저닝합니다. 이를 위해서는 다음 Google Cloud CLI 명령어를 사용할 수 있습니다.


gcloud organizations add-iam-policy-binding ORG_NUMBER \
      --member="serviceAccount:service-org-ORG_NUMBER@gcp-sa-cloudkms.iam.gserviceaccount.com" \
        --role='roles/cloudkms.orgServiceAgent'
        

ORG_NUMBER를 조직의 숫자 ID인 조직 번호로 바꿉니다.

공개 상태 수준

키 추적 대시보드에는 두 가지 수준의 공개 상태가 있습니다.

  • 키 요약 보기 - 키에 대해 cloudkms.cryptoKeys.get 권한이 있는 사용자는 대시보드에서 키의 보호 리소스 요약을 볼 수 있습니다. 여기에는 보호 리소스 수, 이 키를 사용하는 프로젝트 수, 이 키를 사용하는 고유 클라우드 프로젝트 수가 포함됩니다. 이것이 첫 번째 공개 상태 수준입니다.

  • 키 세부정보 보기 - 공개 상태의 두 번째 수준은 조직 관리자가 부여해야 하는 키의 세부 보기입니다. 다음 gcloud CLI 명령어를 사용하여 사용자에게 세부 보호 리소스 액세스를 부여합니다.


gcloud organizations add-iam-policy-binding ORG_NUMBER  \
      --member="user:USER_EMAIL " \
        --role='roles/cloudkms.protectedResourcesViewer'
        

대시보드에 액세스

Google Cloud 콘솔을 사용하여 키를 보고 키 추적 대시보드에 액세스합니다.

콘솔

  1. Google Cloud 콘솔에서 키 관리 페이지로 이동합니다.

    키 관리 페이지로 이동

  2. 보려는 키가 포함된 키링 이름을 클릭합니다.

  3. 키 이름을 클릭합니다.

  4. 사용량 추적 탭을 클릭합니다.

키 속성 보기

키 추적 대시보드는 암호화 키로 보호되는 리소스에 대해 포괄적인 정보를 제공합니다.

키 속성은 다음과 같습니다.

  • 리소스 이름: 사용 중인 키에 대한 Google Cloud 리소스 이름입니다.
  • 프로젝트 이름: 사용 중인 키의 프로젝트 이름입니다.
  • 키 버전: 특정 리소스에 사용 중인 특정 키 버전입니다.
  • 클라우드 제품: 키가 암호화하는 데 사용되는 Google Cloud 제품(Compute Engine, Cloud SQL, Cloud Storage 등)입니다.
  • 리소스 유형: 키가 암호화하는 데 사용되는 리소스 유형(예: 버킷 [Cloud Storage], 디스크 [Compute Engine] 등)입니다.
  • 생성일: 리소스를 만든 시간입니다.
  • 라벨: 리소스를 체계화하는 데 도움이 되는 키-값 쌍입니다.

키 정렬 및 필터링

속성 수에 따라 키를 정렬하고 필터링할 수 있습니다.

콘솔

  1. Google Cloud 콘솔에서 키 관리 페이지로 이동합니다.

    키 관리 페이지로 이동

  2. 보려는 키가 포함된 키링 이름을 클릭합니다.

  3. 키 이름을 클릭합니다.

  4. 사용량 추적 탭을 클릭합니다.

  5. 이름 속성 위의 필터를 클릭합니다.

  6. 키를 필터링하는 데 사용할 속성을 선택합니다.

제한사항

키 추적 대시보드를 사용할 때는 다음 사항에 주의하세요.

  • Google Cloud Storage 지원 지연: 키 추적 대시보드에는 Google Cloud Storage에 사용되는 키에 대한 지원이 제한됩니다. 즉, 버킷에 구성된 키만 대시보드에 반영됩니다.
  • 정보 제공 목적 전용: 키 추적 대시보드에 표시되는 세부정보는 정보 제공 목적으로만 사용됩니다. 데이터 손실이 발생할 수 있는 사항, 특히 키 삭제 예약과 같은 사항을 결정할 때는 대시보드에 표시된 것과 별개로 자체 실사를 수행해야 합니다.

미리보기에서 지원되는 리소스 유형은 다음으로 국한됩니다.

  • artifactregistry.googleapis.com/Repository
  • bigquery.googleapis.com/Dataset
  • bigquery.googleapis.com/Table
  • bigtableadmin.googleapis.com/Backup
  • bigtableadmin.googleapis.com/Cluster
  • cloudfunctions.googleapis.com/CloudFunction
  • composer.googleapis.com/Environment
  • compute.googleapis.com/Disk
  • compute.googleapis.com/Image
  • compute.googleapis.com/Snapshot
  • dataproc.googleapis.com/Cluster
  • documentai.googleapis.com/Processor
  • pubsub.googleapis.com/Topic
  • spanner.googleapis.com/Database
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket*

* 키 버전이 아닌 키만 표시합니다.

위 목록에 표시되지 않는 리소스 유형에 키를 사용하는 경우, 리소스 유형에 대한 사용량은 키 추적 대시보드에 반영되지 않습니다.