고객 관리 암호화 키 (CMEK)로 TPU VM 부팅 디스크 암호화

기본적으로 Cloud TPU는 저장된 고객 콘텐츠를 암호화합니다. Cloud TPU는 사용자의 추가 작업 없이 자동으로 암호화를 처리합니다. 이 옵션을 Google 기본 암호화라고 합니다.

암호화 키를 제어하려면 Cloud TPU를 포함한 CMEK 통합 서비스와 함께 Cloud KMS에서 고객 관리 암호화 키(CMEK)를 사용하면 됩니다. Cloud KMS 키를 사용하면 보호 수준, 위치, 순환 일정, 사용 및 액세스 권한, 암호화 경계를 관리할 수 있습니다. Cloud KMS를 사용하면 감사 로그를 보고 키 수명 주기를 제어할 수도 있습니다. Google에서 데이터를 보호하는 대칭 키 암호화 키(KEK)를 소유하고 관리하는 대신 사용자가 Cloud KMS에서 이러한 키를 제어하고 관리할 수 있습니다.

CMEK로 리소스를 설정한 후 Cloud TPU 리소스에 액세스하는 환경은 Google 기본 암호화를 사용하는 것과 유사합니다. 암호화 옵션에 대한 자세한 내용은 고객 관리 암호화 키(CMEK)를 참조하세요.

CMEK를 만든 후에는 Compute Engine 서비스 계정에 키 액세스 권한을 부여해야 합니다.

키 사용 권한 부여

Google Cloud 프로젝트의 Compute Engine 서비스 에이전트에 Cloud KMS 키에 대한 Cloud KMS CryptoKey 암호화/복호화(roles/cloudkms.cryptoKeyEncrypterDecrypter) IAM 역할을 부여해야 합니다. 이 역할을 부여하면 Compute Engine 서비스가 암호화 키에 액세스하여 사용할 수 있습니다.

Compute Engine 서비스 에이전트에 roles/cloudkms.cryptoKeyEncrypterDecrypter 역할을 부여하려면 다음 옵션 중 하나를 선택하세요.

gcloud

다음 명령어를 실행합니다.

gcloud kms keys add-iam-policy-binding KEY_NAME \
    --location LOCATION \
    --keyring RING_NAME \
    --member serviceAccount:service-PROJECT_NUMBER@compute-system.iam.gserviceaccount.com \
    --role roles/cloudkms.cryptoKeyEncrypterDecrypter \
    --project KEY_PROJECT_ID

다음을 바꿉니다.

  • KEY_NAME: 키의 이름입니다.
  • LOCATION: 키링을 만든 위치입니다.
  • RING_NAME: 키링의 이름입니다.
  • PROJECT_NUMBER: Google Cloud 프로젝트 번호
  • KEY_PROJECT_ID: 키 프로젝트 ID입니다.

콘솔

  1. Google Cloud 콘솔에서 키 관리 페이지로 이동합니다.

    키 관리로 이동

  2. 키가 포함된 키링의 이름을 클릭합니다.

  3. 수정할 키의 이름을 클릭합니다.

  4. 권한 탭을 클릭합니다.

  5. 액세스 권한 부여를 클릭합니다. 키에 대한 액세스 권한 부여 창이 열립니다.

  6. 새 주 구성원 필드에 Compute Engine 서비스 에이전트 이름을 입력합니다.

    service-PROJECT_NUMBER@compute-system.iam.gserviceaccount.com

    여기에서 PROJECT_NUMBER를 Google Cloud프로젝트 번호로 바꿉니다.

  7. 역할 선택 메뉴에서 Cloud KMS CryptoKey 암호화/복호화를 선택합니다.

  8. 저장을 클릭합니다.

CMEK로 TPU VM 만들기

TPU API 또는 Queued Resources API를 사용하여 TPU VM을 만들 때 CMEK를 지정할 수 있습니다.

TPU API

Cloud TPU API를 사용하여 TPU VM을 만들 때 CMEK를 지정하려면 tpu-vm create 명령어에 --boot-disk 인수를 사용하여 사용할 암호화 키를 지정합니다.

gcloud compute tpus tpu-vm create TPU_NAME \
    --zone ZONE \
    --boot-disk kms-key=projects/PROJECT_ID/locations/REGION/keyRings/RING_NAME/cryptoKeys/KEY_NAME \
    --version=TPU_RUNTIME_VERSION \
    --accelerator-type=ACCLERATOR_TYPE

다음을 바꿉니다.

  • TPU_NAME: TPU VM의 이름입니다.
  • ZONE: Cloud TPU를 만들려는 영역입니다.
  • PROJECT_ID: Google Cloud 프로젝트 ID입니다.
  • REGION: 키링을 만든 리전입니다.
  • RING_NAME: 키링의 이름입니다.
  • KEY_NAME: 키의 이름입니다.
  • TPU_RUNTIME_VERSION: Cloud TPU 소프트웨어 버전
  • ACCELERATOR_TYPE: 생성할 Cloud TPU의 가속기 유형입니다. 각 TPU 버전에서 지원되는 가속기 유형에 대한 자세한 내용은 TPU 버전을 참고하세요.

Queued Resources API

큐에 추가된 리소스 API를 사용하여 TPU VM을 만들 때 CMEK를 지정하려면 queued-resources create 명령어에 --bootdisk 인수를 사용하여 사용할 암호화 키를 지정하세요.

gcloud compute tpus queued-resources create QUEUED_RESOURCE_ID \
    --zone ZONE \
    --node-id NODE_ID \
    --boot-disk kms-key=projects/PROJECT_ID/locations/REGION/keyRings/RING_NAME/cryptoKeys/KEY_NAME \
    --runtime-version=TPU_RUNTIME_VERSION \
    --accelerator-type=ACCLERATOR_TYPE

다음을 바꿉니다.

  • QUEUED_RESOURCE_ID: 큐에 추가된 리소스 요청의 사용자 할당 ID입니다.
  • ZONE: Cloud TPU를 만들려는 영역입니다.
  • NODE_ID: 큐에 추가된 리소스 요청이 할당될 때 생성되는 Cloud TPU의 사용자 할당 ID입니다.
  • PROJECT_ID: Google Cloud 프로젝트 ID입니다.
  • REGION: 키링을 만든 리전입니다.
  • RING_NAME: 키링의 이름입니다.
  • KEY_NAME: 키의 이름입니다.
  • TPU_RUNTIME_VERSION: Cloud TPU 소프트웨어 버전
  • ACCELERATOR_TYPE: 생성할 Cloud TPU의 가속기 유형입니다. 각 TPU 버전에서 지원되는 가속기 유형에 대한 자세한 내용은 TPU 버전을 참고하세요.

GKE를 사용하여 CMEK로 TPU VM을 만드는 방법에 대한 자세한 내용은 GKE 문서의 고객 관리 암호화 키 사용을 참고하세요.

삭제되거나 취소된 CMEK

CMEK가 취소되거나 삭제되면 삭제되거나 취소된 CMEK로 암호화된 부팅 디스크를 사용하는 TPU VM이 자동으로 종료되지 않습니다. VM이 종료되거나 다시 시작될 때까지 TPU VM은 암호화된 부팅 디스크의 데이터에 계속 액세스할 수 있습니다. 이렇게 하면 취소되거나 삭제된 키에 대한 액세스 권한을 복원하는 경우 데이터를 복구할 수 있습니다. 키를 다시 사용 설정하면 TPU VM을 시작하거나 복구할 수 있으며 부팅 디스크가 성공적으로 복호화되고 로드됩니다.