고객 관리 암호화 키

기본적으로 애플리케이션 통합은 저장 중 고객 콘텐츠를 암호화합니다. Application Integration은 사용자 측의 추가 작업 없이 자동으로 암호화를 처리합니다. 이 옵션을 Google 기본 암호화라고 부릅니다.

암호화 키를 제어하려면 애플리케이션 통합을 비롯한 CMEK 통합 서비스와 함께 Cloud KMS에서 고객 관리 암호화 키(CMEK)를 사용하면 됩니다. Cloud KMS 키를 사용하면 보호 수준, 위치, 순환 일정, 사용 및 액세스 권한, 암호화 경계를 관리할 수 있습니다. Cloud KMS를 사용하면 감사 로그를 보고 키 수명 주기를 제어할 수도 있습니다. Google에서 데이터를 보호하는 대칭 키 암호화 키(KEK)를 소유하고 관리하는 대신 사용자가 Cloud KMS에서 이러한 키를 제어하고 관리할 수 있습니다.

CMEK로 리소스를 설정한 후 Application Integration 리소스에 액세스하는 환경은 Google 기본 암호화를 사용하는 것과 유사합니다. 암호화 옵션에 대한 자세한 내용은 고객 관리 암호화 키(CMEK)를 참조하세요.

시작하기 전에

Application Integration에 CMEK를 사용하기 전에 다음 태스크가 완료되었는지 확인합니다.

암호화 키를 저장할 프로젝트에 Cloud KMS API를 사용 설정합니다.
Cloud KMS API 사용 설정
팁: 동일한 Google Cloud 프로젝트 또는 다른 프로젝트에서 Application Integration 및 Cloud KMS를 실행할 수 있습니다.
암호화 키를 저장할 프로젝트에 대해 Cloud KMS 관리자 IAM 역할을 할당하거나 다음 IAM 권한을 부여합니다.
- cloudkms.cryptoKeys.setIamPolicy
- cloudkms.keyRings.create
- cloudkms.cryptoKeys.create
추가 역할 또는 권한 부여에 대한 자세한 내용은 액세스 권한 부여, 변경, 취소를 참조하세요.

주의: Cloud KMS 관리자 역할에는 키 유지보수 및 키 버전 폐기 권한이 포함되어 있습니다. Cloud KMS 리소스를 보호하기 위해서는 이 역할을 키 관리를 담당하는 사용자에게만 할당해야 합니다.
키링 및 키를 만듭니다.
참고: 키링은 Application Integration을 설치한 리전과 동일한 리전에서 만들어야 합니다.

CMEK 키에 서비스 계정 추가

Application Integration에서 CMEK 키를 사용하려면 기본 서비스 계정이 추가되었고 이 계정에 해당 CMEK 키에 대한 CryptoKey 암호화/복호화 IAM 역할이 할당되었는지 확인해야 합니다.

Google Cloud 콘솔에서 키 인벤토리 페이지로 이동합니다.
키 인벤토리 페이지로 이동
원하는 CMEK 키의 체크박스를 선택합니다.
오른쪽 창의 권한 탭이 활성화됩니다.
주 구성원 추가를 클릭하고 기본 서비스 계정의 이메일 주소를 입력합니다.
역할 선택을 클릭하고 사용 가능한 드롭다운 목록에서 Cloud KMS CryptoKey 암호화/복호화 역할을 선택합니다.
저장을 클릭합니다.

Application Integration 리전에 CMEK 암호화 사용 설정

CMEK는 프로비저닝된 리전 범위 내 PD에 저장된 데이터를 암호화하고 복호화하는 데 사용할 수 있습니다.

Google Cloud 프로젝트에서 Application Integration 리전에 CMEK 암호화를 사용 설정하려면 다음 단계를 따르세요.

Google Cloud 콘솔에서 Application Integration 페이지로 이동합니다.
Application Integration으로 이동
탐색 메뉴에서 리전을 클릭합니다.
Application Integration에 프로비저닝된 리전이 나열된 리전 페이지가 나타납니다.
CMEK를 사용하려는 기존 통합의 경우 작업을 클릭하고 암호화 수정을 선택합니다.
암호화 수정 창에서 고급 설정 섹션을 펼칩니다.
고객 관리 암호화 키(CMEK) 사용을 선택하고 다음을 수행합니다.
1. 사용 가능한 드롭다운 목록에서 CMEK 키를 선택합니다. 드롭다운에 나열된 CMEK 키는 프로비저닝된 리전을 기준으로 합니다. 새 키를 만들려면 새 CMEK 키 만들기를 참조하세요.
2. 확인을 클릭하여 기본 서비스 계정에 선택된 CMEK 키에 대한 CryptoKey 액세스 권한이 있는지 확인합니다.
3. 선택된 CMEK 키의 확인이 실패하면 권한 부여를 클릭하여 기본 서비스 계정에 CryptoKey 암호화/복호화 IAM 역할을 할당합니다.
완료를 클릭합니다.

새 CMEK 만들기

기존 키를 사용하지 않으려는 경우 또는 지정된 리전에 키가 없는 경우 새 CMEK 키를 만들 수 있습니다.

새 대칭 암호화 키를 만들려면 새 키 만들기 대화상자에서 다음 단계를 수행합니다.

키링을 선택합니다.
1. 키링을 클릭하고 지정된 리전의 기존 키링을 선택합니다.
2. 키의 새 키링을 만들려면 키링 만들기 전환 버튼을 클릭하고 다음 단계를 수행합니다.
  1. 키링 이름을 클릭하고 키링의 이름을 입력합니다.
  2. 키링 위치를 클릭하고 키링의 리전 위치를 선택합니다.
    참고: CMEK 암호화의 경우 Application Integration과 동일한 리전에 키링을 만들어야 합니다.
3. 계속을 클릭합니다.
키 만들기:
1. 키 이름을 클릭하고 새 키의 이름을 입력합니다.
2. 보호 수준을 클릭하고 소프트웨어 또는 HSM을 선택합니다.
  보호 수준에 대한 자세한 내용은 Cloud KMS 보호 수준을 참조하세요.
키 및 키링 세부정보를 검토하고 계속을 클릭합니다.
만들기를 클릭합니다.

암호화된 데이터

다음 표에는 Application Integration에서 암호화된 데이터가 나와 있습니다.

리소스	암호화된 데이터
통합 세부정보	태스크 구성 매개변수 태스크 구성 설명
통합 실행 정보	요청 매개변수 응답 매개변수 태스크 실행 세부정보
인증 프로필 사용자 인증 정보	사용자 이름 및 비밀번호 API 키 OAuth 2.0 승인 코드 OAuth 2.0 클라이언트 사용자 인증 정보 OAuth 2.0 리소스 소유자 비밀번호 사용자 인증 정보 인증 토큰 JWT 토큰 서비스 계정 SSL/TLS 클라이언트 인증서 Google OIDC ID 토큰
승인/정지 태스크 세부정보	승인 또는 정지 구성

Cloud KMS 할당량 및 Application Integration

Application Integration에서 CMEK를 사용할 때 프로젝트는 Cloud KMS 암호화 요청 할당량을 사용할 수 있습니다. 예를 들어 CMEK 키는 각 암호화 및 복호화 호출에 이러한 할당량을 사용할 수 있습니다.

CMEK 키를 사용한 암호화 및 복호화 작업은 다음과 같은 방식으로 Cloud KMS 할당량에 영향을 미칩니다.

Cloud KMS에서 생성된 소프트웨어 CMEK 키의 경우 Cloud KMS 할당량이 사용되지 않습니다.
하드웨어 CMEK 키(Cloud HSM 키라고도 함)의 경우 키가 포함된 프로젝트의 Cloud HSM 할당량에 암호화 및 복호화 작업이 집계됩니다.
외부 CMEK 키(Cloud EKM 키라고도 함)의 경우 키가 포함된 프로젝트의 Cloud EKM 할당량에 암호화 및 복호화 작업이 집계됩니다.

자세한 내용은 Cloud KMS 할당량을 참조하세요.