Autokey가 포함된 Cloud KMS

Cloud KMS Autokey는 프로비저닝 및 할당을 자동화하여 고객 관리 암호화 키(CMEK)를 만들고 사용하는 것을 간소화합니다. Autokey를 사용하면 키링과 키가 필요에 따라 생성됩니다. 키를 사용하여 리소스를 암호화 및 복호화하는 서비스 계정이 생성되고 필요한 경우 Identity and Access Management(IAM) 역할이 부여됩니다. Cloud KMS 관리자는 각 리소스를 미리 계획하고 만들 필요 없이 Autokey로 생성된 키에 대한 완전한 제어 및 가시성을 유지할 수 있습니다.

Autokey에서 생성된 키를 사용하면 HSM 보호 수준, 업무 분장, 키 순환, 위치, 키 특이성을 포함한 데이터 보안의 업계 표준 및 권장사항을 일관되게 조정할 수 있습니다. Autokey는 Cloud KMS Autokey와 통합되는 Google Cloud 서비스의 리소스 유형과 관련된 일반 가이드라인과 가이드라인을 모두 따르는 키를 만듭니다. 키가 생성된 후 Autokey를 사용하여 요청된 키는 동일한 설정을 사용하는 다른 Cloud HSM 키와 동일하게 작동합니다.

Autokey는 승격된 키 생성 권한으로 코드형 인프라를 실행할 필요가 없어 관리를 위한 Terraform 사용을 간소화합니다.

Autokey를 사용하려면 폴더 리소스가 포함된 조직 리소스가 있어야 합니다. 조직 및 폴더 리소스에 대한 자세한 내용은 리소스 계층 구조를 참조하세요.

Cloud KMS Autokey는 Cloud HSM을 사용할 수 있는 모든 Google Cloud 위치에서 사용할 수 있습니다. Cloud KMS 위치에 대한 자세한 내용은 Cloud KMS 위치를 참조하세요. Cloud KMS Autokey를 사용하는 데 추가 비용이 들지 않습니다. Autokey를 사용하여 생성된 키에는 다른 Cloud HSM 키와 동일한 가격이 책정됩니다. 가격 책정에 대한 자세한 내용은 Cloud Key Management Service 가격 책정을 참조하세요.

Autokey에 대한 자세한 내용은 Autokey 개요를 참조하세요.

Autokey와 기타 암호화 옵션 중에서 선택

Autokey를 사용한 Cloud KMS는 고객 관리 암호화 키의 Autopilot과 비슷하며, 주문형으로 사용자를 대신해 작업을 수행합니다. 키를 미리 계획하거나 필요하지 않은 키를 만들 필요가 없습니다. 키와 키 사용법이 일관됩니다. Autokey를 사용할 폴더를 정의하고 이를 사용할 수 있는 사용자를 제어할 수 있습니다. Autokey로 생성된 키를 완전히 제어할 수 있습니다. 수동으로 생성된 Cloud KMS 키는 Autokey를 사용하여 만든 키와 함께 사용할 수 있습니다. Autokey를 사용 중지하고 다른 Cloud KMS 키를 사용할 때와 동일한 방식으로 생성한 키를 계속 사용할 수 있습니다.

Cloud KMS Autokey는 운영 오버헤드가 낮은 프로젝트 전체에서 일관된 키를 사용하려는 경우와 키에 대한 Google의 권장사항을 따르려는 경우에 적합합니다.

특징 또는 기능 Google 기본 암호화 Cloud KMS Cloud KMS Autokey
암호화 격리: 키는 한 고객 계정에만 적용 아니요
고객이 키를 소유하고 제어 아니요
개발자가 키 프로비저닝 및 할당 트리거 아니요
특이성: 권장 키 세부사항으로 키가 자동으로 생성 아니요 아니요
데이터를 암호화하여 파기 가능 아니요
권장 키 관리 관행에 따라 자동으로 조정 아니요 아니요
FIPS 140-2 Level 3을 준수하는 HSM 기반 키 사용 아니요 선택사항

HSM 또는 커스텀 순환 기간 이외의 보호 수준을 사용해야 하는 경우에는 Autokey 없이 CMEK를 사용할 수 있습니다.

호환 서비스

다음 표에는 Cloud KMS Autokey와 호환되는 서비스가 나와 있습니다.

서비스 보호되는 리소스 키 세부사항
Cloud Storage
  • storage.googleapis.com/Bucket

스토리지 버킷 내의 객체는 버킷 기본 키를 사용합니다. Autokey는 storage.object 리소스의 키를 만들지 않습니다.

버킷당 키 1개
Compute Engine
  • compute.googleapis.com/Disk
  • compute.googleapis.com/Image
  • compute.googleapis.com/Instance
  • compute.googleapis.com/MachineImage

스냅샷은 스냅샷을 만들 디스크의 키를 사용합니다. Autokey는 compute.snapshot 리소스의 키를 만들지 않습니다.

리소스당 키 1개
BigQuery
  • bigquery.googleapis.com/Dataset

Autokey는 데이터 세트의 기본 키를 만듭니다. 데이터 세트 내의 테이블, 모델, 쿼리, 임시 테이블은 데이터 세트 기본 키를 사용합니다.

Autokey는 데이터 세트가 아닌 BigQuery 리소스의 키를 만들지 않습니다. 데이터 세트에 포함되지 않은 리소스를 보호하려면 프로젝트 또는 조직 수준에서 자체 기본 키를 만들어야 합니다.

리소스당 키 1개
Secret Manager
  • secretmanager.googleapis.com/Secret

Secret Manager는 Terraform 또는 REST API를 사용하여 리소스를 만들 때만 Cloud KMS Autokey와 호환됩니다.

프로젝트 내 위치당 키 1개
Cloud SQL
  • sqladmin.googleapis.com/Instance

Autokey는 Cloud SQL BackupRun 리소스의 키를 만들지 않습니다. Cloud SQL 인스턴스의 백업을 만들면 기본 인스턴스의 고객 관리 키로 백업이 암호화됩니다.

Cloud SQL은 Terraform 또는 REST API를 사용하여 리소스를 만들 때만 Cloud KMS Autokey와 호환됩니다.

리소스당 키 1개
Spanner
  • spanner.googleapis.com/Database

Spanner는 Terraform 또는 REST API를 사용하여 리소스를 만들 때만 Cloud KMS Autokey와 호환됩니다.

리소스당 키 1개

다음 단계

  • Cloud KMS Autokey의 작동 방법을 자세히 알아보려면 Autokey 개요를 참조하세요.