조직 정책 위반 문제 해결

이 문서에서는 Spanner에서 고객 관리 암호화 키(CMEK) 및 데이터 상주 조직 정책 위반 문제를 해결하는 방법을 설명합니다. 데이터베이스 Fleet을 모니터링할 수 있도록 데이터베이스 센터에서는 다음 상태 점검을 사용하여 CMEK 및 데이터 상주 조직 정책 위반을 감지합니다.

• 암호화 조직 정책이 충족되지 않음 위반은 Spanner 데이터베이스의 CMEK 조직 정책이 충족되지 않음을 나타냅니다.

• 위치 조직 정책을 충족하지 않음 위반은 데이터베이스가 조직 정책에서 허용하지 않는 리전에 있음을 나타냅니다. 허용된 리전에서 데이터베이스가 생성되었지만 데이터베이스가 생성된 후 조직 정책에서 해당 리전을 허용하지 않는 경우에 이 문제가 발생할 수 있습니다.

데이터베이스 센터에 이 위반이 표시되면 이 문서의 주제를 사용하여 문제를 해결하세요. 데이터베이스 센터에 대해 자세히 알아보려면 데이터베이스 센터 개요를 참고하세요.

CMEK 위반 문제 해결

데이터베이스 센터에서 Spanner 데이터베이스에 암호화 조직 정책을 충족하지 않음 위반이 발생하면 위반이 발생한 데이터베이스의 백업에서 새 데이터베이스를 만들어야 합니다. Spanner의 CMEK에 대해 자세히 알아보려면 CMEK 개요를 참고하세요. Cloud Key Management Service의 CMEK에 대해 자세히 알아보려면 고객 관리 암호화 키를 참고하세요. 백업에서 새 데이터베이스를 만들려면 다음 단계를 따르세요.

1. 키링이 없는 경우 키링 만들기의 단계에 따라 키링을 만듭니다.

2. 유효한 고객 관리 키가 없는 경우 키 만들기의 단계에 따라 키를 만듭니다.

3. 정책 위반이 있는 데이터베이스의 백업을 만듭니다. 자세한 내용은 백업 만들기를 참고하세요. 백업을 만들 때 암호화 키를 사용할 수 있습니다. 그렇지 않으면 다음 단계에서 암호화 키를 지정할 수 있습니다.

4. 백업에서 복원의 단계를 사용하여 백업을 복원합니다. 복원된 데이터베이스를 만들 때 다음 중 하나를 선택합니다.

   • 백업을 만들 때 CMEK 키를 사용한 경우 기존 암호화 사용을 선택합니다.

   • 백업을 암호화하지 않은 경우 Cloud KMS 키를 선택합니다.

데이터 상주 위반 문제 해결

데이터베이스 센터에서 Spanner 데이터베이스에 위치 조직 정책을 충족하지 않음 위반이 발생하면 허용된 리전에 있는 인스턴스로 데이터베이스를 이동해야 합니다. 허용된 리전에 대한 자세한 내용은 리소스 위치를 참고하세요.

데이터베이스를 이동하려면 다음 단계를 따르세요.

1. 허용된 리전에서 사용 가능한 인스턴스가 있는지 확인합니다. 사용 가능한 인스턴스 구성 목록을 확인하려면 다음 Google Cloud CLI 명령어를 실행하세요.

   gcloud spanner instance-configs list
   

   새 인스턴스를 만들어야 하는 경우 커스텀 인스턴스 구성 만들기를 참고하세요.

2. gcloud spanner instances move 명령어를 사용하여 데이터베이스를 새 인스턴스로 이동합니다.

리전에 데이터베이스가 생성되지 않도록 하려면 데이터베이스의 조직 정책을 설정할 때 해당 리전을 denied_values 목록에 추가합니다. 자세한 내용은 조직 정책 설정을 참고하세요.