이 페이지에서는 다른 Google Cloud 서비스에서 Cloud KMS 고객 관리 암호화 키를 사용하여 리소스를 보호하는 방법을 설명합니다. 자세한 내용은 고객 관리 암호화 키(CMEK)를 참조하세요.
서비스가 CMEK를 지원하면 CMEK 통합을 가진다고 지칭합니다. GKE와 같은 일부 서비스에는 서비스와 관련된 다양한 유형의 데이터를 보호하기 위한 여러 CMEK 통합이 있습니다. CMEK 통합을 사용하는 서비스 목록은 이 페이지의 지원되는 서비스에 CMEK 사용 설정을 참조하세요.
시작하기 전에
다른 Google Cloud 서비스에서 Cloud KMS 키를 사용하려면 Cloud KMS 키를 포함할 프로젝트 리소스가 있어야 합니다. 다른 Google Cloud 리소스가 포함되지 않은 Cloud KMS 리소스에 대해 개별 프로젝트를 사용하는 것이 좋습니다.
CMEK 통합
CMEK 통합 사용 설정 준비
CMEK를 사용 설정하는 정확한 단계는 관련 Google Cloud 서비스에 대한 문서를 참조하세요. 이 페이지의 지원되는 서비스에 CMEK 사용 설정에서 각 서비스의 CMEK 문서 링크를 찾을 수 있습니다. 각 서비스에서 다음과 비슷한 단계를 따라야 합니다.
키링을 만들거나 기존 키링을 선택합니다. 키링은 보호하려는 리소스와 최대한 지리적으로 가깝게 배치되어야 합니다.
선택한 키링에서 키를 만들거나 기존 키를 선택합니다. 키의 보호 수준, 목적, 알고리즘이 보호하려는 리소스에 적합한지 확인합니다. 이 키가 CMEK 키입니다.
CMEK 키의 리소스 ID를 가져옵니다. 이후에 이 리소스 ID가 필요합니다.
CMEK 키의 CryptoKey Encrypter/Decrypter IAM 역할(
roles/cloudkms.cryptoKeyEncrypterDecrypter)을 해당 서비스의 서비스 계정에 부여합니다.
키를 만들고 필요한 권한을 할당한 후에는 CMEK 키를 사용하도록 서비스를 만들거나 구성할 수 있습니다.
CMEK 통합 서비스에서 Cloud KMS 키 사용
다음 단계에서는 Secret Manager를 예시로 사용합니다. 특정 서비스에서 Cloud KMS CMEK 키를 사용하는 정확한 단계는 CMEK 통합 서비스 목록에서 해당 서비스를 찾으세요.
Secret Manager에서 CMEK를 사용하여 저장 데이터를 보호할 수 있습니다.
Google Cloud Console에서 Secret Manager 페이지로 이동합니다.
보안 비밀을 만들려면 보안 비밀 만들기를 클릭합니다.
암호화 섹션에서 고객 관리 암호화 키(CMEK) 사용을 선택합니다.
암호화 키 상자에서 다음을 수행합니다.
선택사항: 다른 프로젝트의 키를 사용하려면 다음을 수행합니다.
- 프로젝트 전환을 클릭합니다.
- 검색창에 프로젝트 이름 전체 또는 일부를 입력한 후 프로젝트를 선택합니다.
- 선택한 프로젝트에서 사용 가능한 키를 보려면 선택을 클릭합니다.
선택사항: 위치, 키링, 이름 또는 보호 수준별로 사용 가능한 키를 필터링하려면 필터 표시줄에 검색어를 입력합니다.
선택한 프로젝트의 사용 가능한 키 목록에서 키를 선택합니다. 표시된 위치, 키링, 보호 수준 세부정보를 사용하여 올바른 키를 선택할 수 있습니다.
사용하려는 키가 목록에 없으면 수동으로 키 입력을 클릭하고 키의 리소스 ID를 입력합니다.
보안 비밀 구성을 완료한 후 보안 비밀 만들기를 클릭합니다. Secret Manager에서 지정된 CMEK 키를 사용하여 보안 비밀을 만들고 암호화합니다.
지원되는 서비스에 CMEK 사용 설정
CMEK를 사용 설정하려면 먼저 다음 표에서 원하는 서비스를 찾습니다. 필드에 검색어를 입력하여 테이블을 필터링할 수 있습니다. 이 목록의 모든 서비스는 소프트웨어 및 하드웨어(HSM) 키를 지원합니다. 외부 Cloud EKM 키를 사용할 때 Cloud KMS와 통합되는 제품은 EKM 지원 열에 표시됩니다.
CMEK 키를 사용 설정할 각 서비스에 대한 안내를 따릅니다.
| 서비스 | CMEK로 보호 | EKM 지원 | 주제 |
|---|---|---|---|
| AI Platform 학습 | VM 디스크의 데이터 | 아니요 | 고객 관리 암호화 키 사용 |
| PostgreSQL용 AlloyDB | 데이터베이스에 기록된 데이터 | 예 | 고객 관리 암호화 키 사용 |
| 자금 세탁 방지 AI | AML AI 인스턴스 리소스의 데이터 | No | 고객 관리 암호화 키(CMEK)를 사용하여 데이터 암호화 |
| Application Integration | 애플리케이션 통합을 위해 데이터베이스에 기록되는 데이터 | No | 고객 관리 암호화 키 사용 |
| Artifact Registry | 저장소의 데이터 | 예 | 고객 관리 암호화 키 사용 설정 |
| Backup for GKE | Backup for GKE의 데이터 | 예 | Backup for GKE CMEK 암호화 정보 |
| BigQuery | BigQuery 내 데이터 | 예 | Cloud KMS 키로 데이터 보호 |
| Bigtable | 저장 데이터 | 예 | 고객 관리 암호화 키(CMEK) |
| Cloud Composer | 환경 데이터 | 예 | 고객 관리 암호화 키 사용 |
| Cloud Data Fusion | 환경 데이터 | 예 | 고객 관리 암호화 키 사용 |
| Cloud Functions | Cloud Functions의 데이터 | 예 | 고객 관리 암호화 키 사용 |
| Cloud Logging | 로그 라우터의 데이터 | 예 | 로그 라우터 데이터를 보호하는 키 관리 |
| Cloud Logging | Logging 스토리지의 데이터 | 예 | Logging 스토리지 데이터를 보호하는 키 관리 |
| Cloud Run | 컨테이너 이미지 | 예 | Cloud Run을 통해 고객 관리 암호화 키 사용 |
| Cloud SQL | 데이터베이스에 기록된 데이터 | 예 | 고객 관리 암호화 키 사용 |
| Cloud Storage | 스토리지 버킷의 데이터 | 예 | 고객 관리 암호화 키 사용 |
| Cloud Tasks | 저장 상태 태스크 본문 및 헤더 | 예 | 고객 관리 암호화 키 사용 |
| Cloud Workstations | VM 디스크의 데이터 | 예 | 워크스테이션 리소스 암호화 |
| Compute Engine | 영구 디스크 | 예 | Cloud KMS 키로 리소스 보호 |
| Compute Engine | 스냅샷 | 예 | Cloud KMS 키로 리소스 보호 |
| Compute Engine | 커스텀 이미지 | 예 | Cloud KMS 키로 리소스 보호 |
| Compute Engine | 머신 이미지 | 예 | Cloud KMS 키로 리소스 보호 |
| Contact Center AI Insights | 저장 데이터 | 예 | 고객 관리 암호화 키(CMEK) |
| Database Migration Service 동종 마이그레이션 | MySQL 마이그레이션 - 데이터베이스에 작성된 데이터 | 예 | 고객 관리 암호화 키(CMEK) 사용 |
| Database Migration Service 동종 마이그레이션 | PostgreSQL 마이그레이션 - 데이터베이스에 작성된 데이터 | 예 | 고객 관리 암호화 키(CMEK) 사용 |
| Database Migration Service 동종 마이그레이션 | PostgreSQL에서 AlloyDB로 마이그레이션 - 데이터베이스에 작성된 데이터 | 예 | CMEK 정보 |
| Database Migration Service 이기종 마이그레이션 | Oracle에서 PostgreSQL로 저장 데이터 마이그레이션 | 예 | 지속적 마이그레이션에 고객 관리 암호화 키(CMEK) 사용 |
| Dataflow | 파이프라인 상태 데이터 | 예 | 고객 관리 암호화 키 사용 |
| Dataform(미리보기) | 저장소의 데이터 | No | 고객 관리 암호화 키 사용 |
| Dataproc | VM 디스크의 Dataproc 클러스터 데이터 | 예 | 고객 관리 암호화 키 |
| Dataproc | VM 디스크의 Dataproc 서버리스 데이터 | 예 | 고객 관리 암호화 키 |
| Dataproc Metastore | 저장 데이터 | 예 | 고객 관리 암호화 키 사용 |
| Datastream | 전송 중 데이터 | 아니요 | 고객 관리 암호화 키(CMEK) 사용 |
| Dialogflow CX | 저장 데이터 | 아니요 | 고객 관리 암호화 키(CMEK) |
| Document AI | 저장 데이터 및 사용 중 데이터 | 예 | 고객 관리 암호화 키(CMEK) |
| Eventarc | 저장 데이터 | 예 | 고객 관리 암호화 키(CMEK) 사용 |
| Filestore | 저장 데이터 | 예 | 고객 관리 암호화 키로 데이터 암호화 |
| Google Distributed Cloud Edge | Edge 노드의 데이터 | 예 | 로컬 스토리지 보안 |
| Google Kubernetes Engine | VM 디스크의 데이터 | 예 | 고객 관리 암호화 키(CMEK) 사용 |
| Google Kubernetes Engine | 애플리케이션 레이어 보안 비밀 | 예 | 애플리케이션 레이어 보안 비밀 암호화 |
| Looker(Google Cloud 핵심 서비스) | 저장 데이터 | 예 | Looker(Google Cloud 핵심 서비스)에 대한 CMEK 사용 설정 |
| Redis용 Memorystore | 저장 데이터 | 예 | 고객 관리 암호화 키(CMEK) |
| Migrate to Virtual Machines(미리보기) | VMware 소스에서 마이그레이션된 데이터 | 예 | Migrate Connector를 Google Cloud 소스로 등록 |
| Migrate to Virtual Machines(미리보기) | AWS 소스에서 마이그레이션된 데이터 | 예 | AWS 소스 만들기 |
| Migrate to Virtual Machines(미리보기) | Azure 소스에서 마이그레이션된 데이터 | 예 | Azure 소스 만들기 |
| Migrate to Virtual Machines(미리보기) | 마이그레이션된 디스크 | 예 | 마이그레이션된 VM 디스크의 대상 구성 |
| Migrate to Virtual Machines(미리보기) | 마이그레이션된 VM | 예 | 마이그레이션된 VM의 대상 구성 |
| Pub/Sub | 주제와 관련된 데이터 | 예 | 메시지 암호화 구성 |
| Secret Manager | 보안 비밀 페이로드 | 예 | Secret Manager에 고객 관리 암호화 키 사용 설정 |
| Secure Source Manager | 인스턴스 | 예 | 고객 관리 암호화 키로 데이터 암호화 |
| Spanner | 저장 데이터 | 예 | 고객 관리 암호화 키(CMEK) |
| Speaker ID(제한된 GA) | 저장 데이터 | 예 | 고객 관리 암호화 키 사용 |
| Speech-to-Text | 저장 데이터 | 예 | 고객 관리 암호화 키 사용 |
| Vertex AI | 리소스와 연결된 데이터 | 예 | 고객 관리 암호화 키 사용 |
| Vertex AI Workbench 관리형 노트북 | 사용자 저장 데이터 | 아니요 | 고객 관리 암호화 키 |
| Vertex AI Workbench 사용자 관리 노트북 | VM 디스크의 데이터 | 아니요 | 고객 관리 암호화 키 |
| Vertex AI Workbench 인스턴스 | VM 디스크의 데이터 | 예 | 고객 관리 암호화 키 |
| 워크플로 | 저장 데이터 | 예 | 고객 관리 암호화 키(CMEK) 사용 |