이 페이지는 Cloud Translation API를 통해 번역되었습니다.

Google Cloud에서 Cloud KMS 키 사용

이 페이지에서는 다른 Google Cloud 서비스에서 Cloud KMS 고객 관리 암호화 키를 사용하여 리소스를 보호하는 방법을 설명합니다. 자세한 내용은 고객 관리 암호화 키 (CMEK)를 참고하세요.

서비스가 CMEK를 지원하면 CMEK 통합을 가진다고 지칭합니다. GKE와 같은 일부 서비스에는 서비스와 관련된 다양한 유형의 데이터를 보호하기 위한 여러 CMEK 통합이 있습니다. CMEK 통합을 사용하는 서비스 목록은 이 페이지의 지원되는 서비스에 CMEK 사용 설정을 참조하세요.

시작하기 전에

다른 Google Cloud 서비스에서 Cloud KMS 키를 사용하려면 Cloud KMS 키를 포함할 프로젝트 리소스가 있어야 합니다. 다른 Google Cloud 리소스가 포함되지 않은 Cloud KMS 리소스에 대해 개별 프로젝트를 사용하는 것이 좋습니다.

CMEK 통합

CMEK 통합 사용 설정 준비

CMEK를 사용 설정하는 정확한 단계는 관련Google Cloud 서비스에 대한 문서를 참고하세요. 이 페이지의 지원되는 서비스에 CMEK 사용 설정에서 각 서비스의 CMEK 문서 링크를 찾을 수 있습니다. 각 서비스에서 다음과 비슷한 단계를 따라야 합니다.

키링을 만들거나 기존 키링을 선택합니다. 키링은 보호하려는 리소스와 최대한 지리적으로 가깝게 배치되어야 합니다.
선택한 키링에서 키를 만들거나 기존 키를 선택합니다. 키의 보호 수준, 목적, 알고리즘이 보호하려는 리소스에 적합한지 확인합니다. 이 키가 CMEK 키입니다.
CMEK 키의 리소스 ID를 가져옵니다. 이후에 이 리소스 ID가 필요합니다.
CMEK 키의 CryptoKey Encrypter/Decrypter IAM 역할(roles/cloudkms.cryptoKeyEncrypterDecrypter)을 해당 서비스의 서비스 계정에 부여합니다.

참고: 키, 키링, 프로젝트, 폴더 또는 조직 수준에서 Cloud KMS CryptoKey 암호화/복호화 역할을 부여할 수 있습니다. 최소 권한의 원칙을 따르려면 요구사항을 충족하는 가장 낮은 수준에서 이 역할을 부여하는 것이 좋습니다.
주의: 서비스 계정에 Cloud KMS CryptoKey 암호화/복호화 역할이 있으면 서비스는 데이터를 암호화 및 복호화할 수 있습니다. 역할을 취소하거나 CMEK 키를 사용 중지하거나 폐기하면 해당 데이터에 액세스할 수 없습니다. CMEK 키를 액세스 불가 상태로 두면 서비스에 영향을 줄 수 있습니다.

키를 만들고 필요한 권한을 할당한 후에는 CMEK 키를 사용하도록 서비스를 만들거나 구성할 수 있습니다.

CMEK 통합 서비스에서 Cloud KMS 키 사용

다음 단계에서는 Secret Manager를 예시로 사용합니다. 특정 서비스에서 Cloud KMS CMEK 키를 사용하는 정확한 단계는 CMEK 통합 서비스 목록에서 해당 서비스를 찾으세요.

Secret Manager에서 CMEK를 사용하여 저장 데이터를 보호할 수 있습니다.

Google Cloud 콘솔에서 Secret Manager 페이지로 이동합니다.

Secret Manager로 이동
보안 비밀을 만들려면 보안 비밀 만들기를 클릭합니다.
암호화 섹션에서 고객 관리 암호화 키(CMEK) 사용을 선택합니다.
암호화 키 상자에서 다음을 수행합니다.
1. 선택사항: 다른 프로젝트의 키를 사용하려면 다음을 수행합니다.
  1. 프로젝트 전환을 클릭합니다.
  2. 검색창에 프로젝트 이름 전체 또는 일부를 입력한 후 프로젝트를 선택합니다.
  3. 선택한 프로젝트에서 사용 가능한 키를 보려면 선택을 클릭합니다.
2. 선택사항: 위치, 키링, 이름 또는 보호 수준별로 사용 가능한 키를 필터링하려면 필터 표시줄에 검색어를 입력합니다.
3. 선택한 프로젝트의 사용 가능한 키 목록에서 키를 선택합니다. 표시된 위치, 키링, 보호 수준 세부정보를 사용하여 올바른 키를 선택할 수 있습니다.
4. 사용하려는 키가 목록에 없으면 수동으로 키 입력을 클릭하고 키의 리소스 ID를 입력합니다.
보안 비밀 구성을 완료한 후 보안 비밀 만들기를 클릭합니다. Secret Manager에서 지정된 CMEK 키를 사용하여 보안 비밀을 만들고 암호화합니다.

지원되는 서비스에 CMEK 사용 설정

CMEK를 사용 설정하려면 먼저 다음 표에서 원하는 서비스를 찾습니다. 필드에 검색어를 입력하여 테이블을 필터링할 수 있습니다. 이 목록의 모든 서비스는 소프트웨어 및 하드웨어 (HSM) 키를 지원합니다. 외부 Cloud EKM 키를 사용할 때 Cloud KMS와 통합되는 제품은 EKM 지원 열에 표시됩니다.

CMEK 키를 사용 설정할 각 서비스에 대한 안내를 따릅니다.

서비스	CMEK로 보호	EKM 지원	주제
Agent Assist	저장 데이터	예	고객 관리 암호화 키(CMEK)
AI Applications	저장 데이터	아니요	고객 관리 암호화 키
PostgreSQL용 AlloyDB	데이터베이스에 기록된 데이터	예	고객 관리 암호화 키 사용
자금 세탁 방지 AI	AML AI 인스턴스 리소스의 데이터	아니요	고객 관리 암호화 키(CMEK)를 사용하여 데이터 암호화
Apigee	저장 데이터	아니요	CMEK 소개
Apigee API 허브	저장 데이터	예	암호화
Application Integration	저장 데이터	예	고객 관리 암호화 키 사용
Artifact Registry	저장소의 데이터	예	고객 관리 암호화 키 사용 설정
Backup for GKE	Backup for GKE의 데이터	예	Backup for GKE CMEK 암호화 정보
BigQuery	BigQuery 내 데이터	예	Cloud KMS 키로 데이터 보호
Bigtable	저장 데이터	예	고객 관리 암호화 키(CMEK)
Cloud Composer	환경 데이터	예	고객 관리 암호화 키 사용
Cloud Data Fusion	환경 데이터	예	고객 관리 암호화 키 사용
Cloud Healthcare API	Cloud Healthcare API 데이터 세트	예	고객 관리 암호화 키(CMEK) 사용
Cloud Logging	로그 라우터의 데이터	예	로그 라우터 데이터를 보호하는 키 관리
Cloud Logging	Logging 스토리지의 데이터	예	Logging 스토리지 데이터를 보호하는 키 관리
Cloud Run	컨테이너 이미지	예	Cloud Run을 통해 고객 관리 암호화 키 사용
Cloud Run Functions	Cloud Run Functions의 데이터	예	고객 관리 암호화 키 사용
Cloud SQL	데이터베이스에 기록된 데이터	예	고객 관리 암호화 키 사용
Cloud Storage	스토리지 버킷의 데이터	예	고객 관리 암호화 키 사용
Cloud Tasks	저장 상태 태스크 본문 및 헤더	예	고객 관리 암호화 키 사용
Cloud Workstations	VM 디스크의 데이터	예	워크스테이션 리소스 암호화
Colab Enterprise	런타임 및 노트북 파일	아니요	고객 관리 암호화 키 사용
Compute Engine	영구 디스크	예	Cloud KMS 키로 리소스 보호
Compute Engine	스냅샷	예	Cloud KMS 키로 리소스 보호
Compute Engine	커스텀 이미지	예	Cloud KMS 키로 리소스 보호
Compute Engine	머신 이미지	예	Cloud KMS 키로 리소스 보호
대화형 인사이트	저장 데이터	예	고객 관리 암호화 키(CMEK)
Database Migration Service 동종 마이그레이션	MySQL 마이그레이션 - 데이터베이스에 작성된 데이터	예	고객 관리 암호화 키(CMEK) 사용
Database Migration Service 동종 마이그레이션	PostgreSQL 마이그레이션 - 데이터베이스에 작성된 데이터	예	고객 관리 암호화 키(CMEK) 사용
Database Migration Service 동종 마이그레이션	PostgreSQL에서 AlloyDB로 마이그레이션 - 데이터베이스에 작성된 데이터	예	CMEK 정보
Database Migration Service 동종 마이그레이션	SQL Server 마이그레이션 - 데이터베이스에 작성된 데이터	예	CMEK 정보
Database Migration Service 이기종 마이그레이션	Oracle에서 PostgreSQL로 저장 데이터 마이그레이션	예	지속적 마이그레이션에 고객 관리 암호화 키(CMEK) 사용
Dataflow	파이프라인 상태 데이터	예	고객 관리 암호화 키 사용
Dataform	저장소의 데이터	예	고객 관리 암호화 키 사용
Dataplex 범용 카탈로그	저장 데이터	예	고객 관리 암호화 키
Dataproc	VM 디스크의 Dataproc 클러스터 데이터	예	고객 관리 암호화 키
Dataproc	VM 디스크의 Dataproc 서버리스 데이터	예	고객 관리 암호화 키
Dataproc Metastore	저장 데이터	예	고객 관리 암호화 키 사용
Datastream	전송 중 데이터	아니요	고객 관리 암호화 키(CMEK) 사용
Dialogflow CX	저장 데이터	예	고객 관리 암호화 키(CMEK)
Document AI	저장 데이터 및 사용 중 데이터	예	고객 관리 암호화 키(CMEK)
Eventarc Advanced (미리보기)	저장 데이터	아니요	고객 관리 암호화 키(CMEK) 사용
Eventarc Standard	저장 데이터	예	고객 관리 암호화 키(CMEK) 사용
Filestore	저장 데이터	예	고객 관리 암호화 키로 데이터 암호화
Firestore	저장 데이터	예	고객 관리 암호화 키(CMEK) 사용
Gemini Code Assist	저장 데이터	아니요	고객 관리 암호화 키로 데이터 암호화
Google Agentspace - NotebookLM Enterprise	저장 데이터	아니요	고객 관리 암호화 키
Google Agentspace Enterprise	저장 데이터	아니요	고객 관리 암호화 키
Apache Kafka용 Google Cloud 관리형 서비스	주제와 관련된 데이터	예	메시지 암호화 구성
Google Cloud NetApp Volumes	저장 데이터	예	CMEK 정책 만들기
Google Distributed Cloud	Edge 노드의 데이터	예	로컬 스토리지 보안
Google Kubernetes Engine	VM 디스크의 데이터	예	고객 관리 암호화 키(CMEK) 사용
Google Kubernetes Engine	애플리케이션 레이어 보안 비밀	예	애플리케이션 레이어 보안 비밀 암호화
Integration Connectors	저장 데이터	예	암호화 방법
Looker(Google Cloud 핵심 서비스)	저장 데이터	예	Looker(Google Cloud 핵심 서비스)에 대한 CMEK 사용 설정
Redis용 Memorystore	저장 데이터	예	고객 관리 암호화 키(CMEK)
Migrate to Virtual Machines	VMware, AWS, Azure VM 소스에서 마이그레이션된 데이터	예	CMEK를 사용하여 마이그레이션 중에 저장된 데이터 암호화
Migrate to Virtual Machines	디스크 및 머신 이미지 소스에서 마이그레이션된 데이터	예	CMEK를 사용하여 대상 디스크 및 머신 이미지의 데이터 암호화
Parameter Manager	파라미터 버전 페이로드	예	Parameter Manager에 고객 관리 암호화 키 사용 설정
Pub/Sub	주제와 관련된 데이터	예	메시지 암호화 구성
Secret Manager	보안 비밀 페이로드	예	Secret Manager에 고객 관리 암호화 키 사용 설정
Secure Source Manager	인스턴스	예	고객 관리 암호화 키로 데이터 암호화
Security Command Center	저장 데이터	아니요	Security Command Center에 CMEK 사용 설정
Spanner	저장 데이터	예	고객 관리 암호화 키(CMEK)
Speaker ID(제한된 GA)	저장 데이터	예	고객 관리 암호화 키 사용
Speech-to-Text	저장 데이터	예	고객 관리 암호화 키 사용
Vertex AI	리소스와 연결된 데이터	예	고객 관리 암호화 키 사용
Vertex AI Workbench 관리형 노트북 (지원 중단됨)	사용자 저장 데이터	아니요	고객 관리 암호화 키
Vertex AI Workbench 사용자 관리 노트북 (지원 중단됨)	VM 디스크의 데이터	아니요	고객 관리 암호화 키
Vertex AI Workbench 인스턴스	VM 디스크의 데이터	예	고객 관리 암호화 키
워크플로	저장 데이터	예	고객 관리 암호화 키(CMEK) 사용
워크로드 관리자	맞춤 규칙 유형 평가 데이터	예	평가에 고객 관리 암호화 키 사용 설정