Secret Manager에 고객 관리 암호화 키 사용 설정

기본적으로 Secret Manager는 저장 중 고객 콘텐츠를 암호화합니다. Secret Manager는 사용자 측의 추가 작업 없이 자동으로 암호화를 처리합니다. 이 옵션을 Google 기본 암호화라고 부릅니다.

암호화 키를 제어하려면 Secret Manager를 포함한 CMEK 통합 서비스와 함께 Cloud KMS에서 고객 관리 암호화 키(CMEK)를 사용하면 됩니다. Cloud KMS 키를 사용하면 보호 수준, 위치, 순환 일정, 사용 및 액세스 권한, 암호화 경계를 관리할 수 있습니다. Cloud KMS를 사용하면 키 사용을 추적하고, 감사 로그를 보고, 키 수명 주기를 제어할 수도 있습니다. Google에서 데이터를 보호하는 대칭 키 암호화 키(KEK)를 소유하고 관리하는 대신 사용자가 Cloud KMS에서 이러한 키를 제어하고 관리할 수 있습니다.

CMEK로 리소스를 설정한 후 Secret Manager 리소스에 액세스하는 환경은 Google 기본 암호화를 사용하는 것과 유사합니다. 암호화 옵션에 대한 자세한 내용은 고객 관리 암호화 키(CMEK)를 참조하세요.

Secret Manager는 애플리케이션의 민감한 정보를 저장, 관리, 액세스할 수 있는 도구를 제공합니다.

Cloud KMS Autokey를 사용하는 CMEK

CMEK를 수동으로 만들어 Secret Manager 리소스를 보호하거나 Cloud KMS Autokey를 사용할 수 있습니다. Autokey를 사용하면 Secret Manager에서 리소스를 만들 때 필요에 따라 키링과 키가 생성됩니다. 암호화 및 복호화 작업에 키를 사용하는 서비스 에이전트가 없으면 생성되며, 필요한 Identity and Access Management(IAM) 역할이 부여됩니다. 자세한 내용은 Autokey 개요를 참조하세요.

Secret Manager는 Terraform 또는 REST API를 사용하여 리소스를 만들 때만 Cloud KMS Autokey와 호환됩니다.

수동으로 생성된 CMEK를 사용하여 Secret Manager 리소스를 보호하는 방법은 이 페이지의 자동 복제 기능이 있는 CMEK 및 사용자 관리 복제 기능이 있는 CMEK를 참고하세요.

Cloud KMS Autokey에서 만든 CMEK를 사용하여 Secret Manager 리소스를 보호하는 방법을 알아보려면 Secret Manager 리소스에 Autokey 사용을 참고하세요.

Secret Manager에서 CMEK 작동 방식

Secret Manager는 특정 위치에 있는 영구 스토리지에 보안 비밀 버전을 작성하기 전에 고유한 데이터 암호화 키(DEK)로 데이터를 암호화합니다. 그러면 이 DEK는 Secret Manager 서비스에서 소유한 키 암호화 키(KEK)라는 복제본별 키로 암호화됩니다.

Secret Manager에 CMEK를 사용하는 경우 KEK는 CMEK 키라고 하며 Cloud KMS 내에서 관리하는 대칭 키입니다. CMEK 키는 암호화하는 보안 비밀 버전 복제본과 동일한 Google Cloud 위치에 있어야 합니다. 암호화 및 복호화에 대한 CMEK 정책에 Cloud EKM 키를 사용할 수도 있습니다.

이 가이드에서는 CMEK를 사용하도록 Secret Manager를 구성하는 방법을 설명합니다. CMEK를 사용 설정하는 시기와 이유를 포함한 일반적인 CMEK에 대한 자세한 내용은 Cloud Key Management Service 문서를 참조하세요.

제한사항

CMEK는 Secret Manager v1 API 및 Google Cloud CLI에서만 사용할 수 있습니다.

시작하기 전에

모든 리소스를 동일한 프로젝트에 저장하거나 보안 비밀과 키를 별도의 프로젝트에 저장할 수 있습니다. 이 결정을 더욱 잘 이해하려면 Cloud KMS 업무 분장을 참조하세요.

다음 기본 요건을 완료하여 Secret Manager와 Cloud KMS를 설정합니다.

Secret Manager:
- 프로젝트를 만들거나 기존 프로젝트를 사용하여 Secret Manager 리소스를 보존합니다.
- 필요한 경우 Secret Manager 빠른 시작의 Secret Manager 구성 섹션의 단계를 완료합니다.
Cloud KMS:
- 프로젝트를 만들거나 기존 프로젝트를 사용하여 Cloud KMS 리소스를 보존합니다.
- 필요한 경우 Cloud KMS API를 사용 설정합니다.

다음 변수를 Secret Manager 및 Cloud KMS 프로젝트의 프로젝트 ID로 설정합니다.

This is an editable variable. Set it to your Secret Manager project ID and the
value will be used in all commands on this page.
SM_PROJECT_ID

This is an editable variable. Set it to your Cloud KMS project ID and the value
will be used in all commands on this page.
KMS_PROJECT_ID

Google Cloud에 인증합니다.

gcloud

명령줄에서 Secret Manager를 사용하려면 먼저 Google Cloud CLI 버전 378.0.0 이상을 설치하거나 업그레이드합니다. Compute Engine 또는 GKE에서는 cloud-platform 범위로 인증해야 합니다.

gcloud auth login

서비스 에이전트 ID 만들기

고객 관리 암호화 키가 필요한 각 프로젝트에 서비스 에이전트 ID를 만들어야 합니다.

Google Cloud CLI를 사용하여 서비스 ID를 만들려면 다음 명령어를 실행하세요.

gcloud

gcloud beta services identity create \
    --service "secretmanager.googleapis.com" \
    --project "SM_PROJECT_ID"

그러면 다음 형식으로 서비스 ID 이름이 반환됩니다.

service-PROJECT_NUMBER@gcp-sa-secretmanager.iam.gserviceaccount.com

서비스 ID 이름을 저장합니다.

The following variable is editable. Click on it to update the value, and it will
be reflected throughout this documentation page.

SM_SERVICE_IDENTITY

이 서비스 ID에 보안 비밀을 암호화하고 복호화하는 데 사용되는 CMEK Cloud KMS 키에 대한 액세스 권한을 부여합니다.

자동 복제 기능이 있는 CMEK

이 섹션에서는 자동 복제 정책을 통해 구성된 보안 비밀을 설명합니다.

자동 복제 정책을 사용하는 보안 비밀의 경우 CMEK 키는 global Cloud KMS 멀티 리전에 있어야 합니다. Cloud EKM 키를 사용하는 경우 global 리전에서 Cloud EKM 키를 사용할 수 없으므로 자동 복제를 사용하도록 보안 비밀을 구성할 수 없습니다. Cloud EKM 키 사용에 대한 자세한 내용은 CMEK 정책에 Cloud EKM 키 추가를 참조하세요.

global Cloud KMS 리전에서 대칭 Cloud KMS 키를 만들거나 기존 키를 사용합니다. 이 예시에서는 secret-manager-cmek라는 새 키링을 만든 후 my-cmek-key라는 새 키를 만듭니다.

gcloud

gcloud kms keyrings create "secret-manager-cmek" \
    --project "KMS_PROJECT_ID" \
    --location "global"

gcloud kms keys create "my-cmek-key" \
    --project "KMS_PROJECT_ID" \
    --location "global" \
    --keyring "secret-manager-cmek" \
    --purpose "encryption"

CMEK 키를 사용하여 서비스 ID에 암호화 및 복호화할 수 있는 Secret Manager 액세스 권한을 부여합니다. 이 명령어는 my-cmek-key Cloud KMS 키에 대한 Cloud KMS 암호화/복호화 역할(roles/cloudkms.cryptoKeyEncrypterDecrypter)을 서비스 ID에 부여합니다.

gcloud

gcloud kms keys add-iam-policy-binding "my-cmek-key" \
    --project "KMS_PROJECT_ID" \
    --location "global" \
    --keyring "secret-manager-cmek" \
    --member "serviceAccount:SM_SERVICE_IDENTITY" \
    --role "roles/cloudkms.cryptoKeyEncrypterDecrypter"

자동 복제를 사용하여 보안 비밀을 만듭니다. CMEK 키의 리소스 이름은 보안 비밀에 메타데이터로 저장됩니다.

gcloud

gcloud secrets create "SECRET_ID" \
    --replication-policy "automatic" \
    --kms-key-name "projects/KMS_PROJECT_ID/locations/global/keyRings/secret-manager-cmek/cryptoKeys/my-cmek-key" \
    --project "SM_PROJECT_ID"

API

이 예시에서는 curl을 사용하여 API를 사용하는 방법을 보여줍니다. gcloud auth print-access-token을 사용하여 액세스 토큰을 생성할 수 있습니다. Compute Engine 또는 GKE에서는 cloud-platform 범위로 인증해야 합니다.

replication.automatic.customerManagedEncryption.kmsKeyName 값을 CMEK 키의 리소스 이름으로 설정합니다.

curl "https://secretmanager.googleapis.com/v1/projects/${SM_PROJECT_ID}/secrets?secretId=SECRET_ID" \
    --request "POST" \
    --header "Content-Type: application/json" \
    --header "Authorization: Bearer ACCESS_TOKEN" \
    --data-binary @- <<EOF
{
  "replication":{
    "automatic":{
      "customerManagedEncryption":{
        "kmsKeyName": "projects/KMS_PROJECT_ID/locations/global/keyRings/secret-manager-cmek/cryptoKeys/my-cmek-key"
      }
    }
  }
}
EOF

이제 보안 비밀에 보안 비밀 버전이 생성될 때마다 서비스 ID에 CMEK 키에 대한 액세스 권한이 있는 한 영구 스토리지에 작성하기 전에 보안 비밀 버전의 페이로드가 키를 통해 자동으로 암호화합니다. 서비스 ID에 액세스 권한이 없거나 키를 사용할 수 없게 된 경우 새로운 보안 비밀 버전을 만들거나 기존 보안 비밀에 액세스하려고 하면 오류가 반환됩니다.

새 보안 비밀 버전을 추가합니다. Cloud KMS 키의 리소스 이름을 지정하지 않습니다. 보안 비밀의 메타데이터에서 읽습니다.

gcloud

echo -n "SECRET_DATA" | gcloud secrets versions add "SECRET_ID" \
    --project "SM_PROJECT_ID" \
    --data-file -

호출자에게 CMEK 키를 사용할 수 있는 직접 액세스 권한이 없더라도 보안 비밀 버전이 생성됩니다. 호출자가 아닌 Secret Manager의 서비스 ID는 보안 비밀을 읽거나 쓸 때 암호화하고 복호화해야 합니다.

마찬가지로 보안 비밀에 액세스하기 위해 CMEK 키에 직접 액세스할 필요는 없습니다. 서비스 ID는 키에 액세스하고 개발자를 대신하여 보안 비밀을 암호화하거나 복호화합니다.

방금 만든 보안 비밀 버전에 액세스합니다.

gcloud

gcloud secrets versions access "latest" \
    --project "SM_PROJECT_ID" \
    --secret "SECRET_ID"

CMEK 구성 업데이트

global Cloud KMS 멀티 리전에서 새 대칭 KMS 키를 만듭니다.

gcloud

gcloud kms keys create "my-other-key" \
    --project "KMS_PROJECT_ID" \
    --location "global" \
    --keyring "secret-manager-cmek" \
    --purpose "encryption"

새 CMEK 키를 사용하여 서비스 ID에 암호화 및 복호화할 수 있는 Secret Manager 액세스 권한을 부여합니다. 이 명령어는 my-other-key Cloud KMS 키에 대한 Cloud KMS 암호화/복호화 역할(roles/cloudkms.cryptoKeyEncrypterDecrypter)을 서비스 ID에 부여합니다.

gcloud

gcloud kms keys add-iam-policy-binding "my-other-key" \
    --project "KMS_PROJECT_ID" \
    --location "global" \
    --keyring "secret-manager-cmek" \
    --member "serviceAccount:SM_SERVICE_IDENTITY" \
    --role "roles/cloudkms.cryptoKeyEncrypterDecrypter"

새 Cloud KMS 키 리소스 이름으로 보안 비밀의 복제를 업데이트하여 보안 비밀의 CMEK 구성을 수정합니다.

gcloud

gcloud secrets replication update "SECRET_ID" \
    --set-kms-key "projects/KMS_PROJECT_ID/locations/global/keyRings/secret-manager-cmek/cryptoKeys/my-other-key" \
    --project "SM_PROJECT_ID"

API

curl "https://secretmanager.googleapis.com/v1/projects/${SM_PROJECT_ID}/secrets/SECRET_ID?updateMask=replication" \
    --request "PATCH" \
    --header "Authorization: Bearer ACCESS_TOKEN" \
    --header "Content-Type: application/json" \
    --data-binary @- <<EOF
{
  "replication": {
    "automatic":{
      "customerManagedEncryption":{
        "kmsKeyName": "projects/KMS_PROJECT_ID/locations/global/keyRings/secret-manager-cmek/cryptoKeys/my-other-key"
      }
    }
  }
}
EOF

사용자 관리 복제 기능이 있는 CMEK

이 섹션에서는 사용자 관리 복제 정책으로 구성된 보안 비밀을 설명합니다. 사용자 관리 복제 정책으로 보안 비밀이 저장되는 Google Cloud 위치를 제어합니다. 모든 Google Cloud 위치에서는 항상 보안 비밀에 액세스할 수 있습니다.

사용자 관리 복제 정책이 적용된 보안 비밀에서는 보안 비밀 버전이 저장되는 위치에 정확히 매핑되는 Cloud KMS 키를 사용해야 합니다. 이 가이드의 예시에서는 us-east1, us-central1 등 두 위치에 보안 비밀을 저장합니다. 보안 비밀 액세스 요청은 다음 위치 중 하나로 라우팅됩니다.

두 리전 각각에서 암호화를 위해 키링과 Cloud KMS 키를 만들거나 기존 키를 사용합니다. 이 예시에서는 "secret-manager-cmek"라는 새 키링을 만든 후 각 리전에 "my-cmek-key"라는 키를 만듭니다.

gcloud

gcloud kms keyrings create "secret-manager-cmek" \
    --project "KMS_PROJECT_ID" \
    --location "us-east1"

gcloud kms keys create "my-cmek-key" \
    --project "KMS_PROJECT_ID" \
    --location "us-east1" \
    --keyring "secret-manager-cmek" \
    --purpose "encryption"

gcloud kms keyrings create "secret-manager-cmek" \
    --project "KMS_PROJECT_ID" \
    --location "us-central1"

gcloud kms keys create "my-cmek-key" \
    --project "KMS_PROJECT_ID" \
    --location "us-central1" \
    --keyring "secret-manager-cmek" \
    --purpose "encryption"

개별적으로 CMEK 키 각각에 또는 프로젝트의 모든 키에 Cloud KMS 암호화/복호화 역할(roles/cloudkms.cryptoKeyEncrypterDecrypter)을 부여하여 서비스 ID에 CMEK 키를 사용해 암호화 및 복호화할 수 있는 Secret Manager 권한을 부여합니다.

gcloud

gcloud kms keys add-iam-policy-binding "my-cmek-key" \
    --project "KMS_PROJECT_ID" \
    --location "us-east1" \
    --keyring "secret-manager-cmek" \
    --member "serviceAccount:SM_SERVICE_IDENTITY" \
    --role "roles/cloudkms.cryptoKeyEncrypterDecrypter"

gcloud kms keys add-iam-policy-binding "my-cmek-key" \
    --project "KMS_PROJECT_ID" \
    --location "us-central1" \
    --keyring "secret-manager-cmek" \
    --member "serviceAccount:SM_SERVICE_IDENTITY" \
    --role "roles/cloudkms.cryptoKeyEncrypterDecrypter"

사용자 관리 복제 기능이 있는 CMEK가 사용 설정된 보안 비밀을 만듭니다. CMEK 키의 리소스 이름은 보안 비밀에 메타데이터로 저장됩니다.

gcloud

cat <<EOF > ./replication-policy.json
{
  "userManaged":{
    "replicas":[
      {
        "location":"us-east1",
        "customerManagedEncryption":{
          "kmsKeyName":"projects/KMS_PROJECT_ID/locations/us-east1/keyRings/secret-manager-cmek/cryptoKeys/my-cmek-key"
        }
      },
      {
        "location":"us-central1",
        "customerManagedEncryption":{
          "kmsKeyName":"projects/KMS_PROJECT_ID/locations/us-central1/keyRings/secret-manager-cmek/cryptoKeys/my-cmek-key"
        }
      }
    ]
  }
}
EOF

gcloud secrets create "my-ummr-secret" \
    --replication-policy-file ./replication-policy.json \
    --project "SM_PROJECT_ID"

API

replication.userManaged.replicas.customerManagedEncryption.kmsKeyName 값을 CMEK 키의 리소스 이름으로 설정합니다.

curl "https://secretmanager.googleapis.com/v1/projects/SM_PROJECT_ID/secrets?secretId=my-ummr-secret" \
--request "POST" \
--header "Content-Type: application/json" \
--header "Authorization: Bearer ACCESS_TOKEN" \
--data-binary @- <<EOF
{
  "replication":{
    "userManaged":{
      "replicas":[
        {
          "location":"us-east1",
          "customerManagedEncryption":{
            "kmsKeyName":"projects/KMS_PROJECT_ID/locations/us-east1/keyRings/secret-manager-cmek/cryptoKeys/my-cmek-key"
          }
        },
        {
          "location":"us-central1",
          "customerManagedEncryption":{
            "kmsKeyName":"projects/KMS_PROJECT_ID/locations/us-central1/keyRings/secret-manager-cmek/cryptoKeys/my-cmek-key"
          }
        }
      ]
    }
  }
}
EOF

새 보안 비밀 버전을 추가합니다. Cloud KMS 키의 리소스 이름을 지정하지 않습니다. 보안 비밀의 메타데이터에서 읽습니다.

gcloud

echo -n "SECRET_DATA" | gcloud secrets versions add "my-ummr-secret" \
    --project "SM_PROJECT_ID" \
    --data-file -

방금 만든 보안 비밀 버전에 액세스합니다.

gcloud

gcloud secrets versions access "latest" \
    --project "SM_PROJECT_ID" \
    --secret "my-ummr-secret"

CMEK 구성 업데이트

보안 비밀과 동일한 리전에 새 대칭 KMS 키 두 개를 만듭니다.

gcloud

gcloud kms keys create "my-other-key" \
    --project "KMS_PROJECT_ID" \
    --location "us-east1" \
    --keyring "secret-manager-cmek" \
    --purpose "encryption"

gcloud kms keys create "my-other-key" \
    --project "KMS_PROJECT_ID" \
    --location "us-central1" \
    --keyring "secret-manager-cmek" \
    --purpose "encryption"

gcloud

gcloud kms keys add-iam-policy-binding "my-other-key" \
    --project "KMS_PROJECT_ID" \
    --location "us-east1" \
    --keyring "secret-manager-cmek" \
    --member "serviceAccount:SM_SERVICE_IDENTITY" \
    --role "roles/cloudkms.cryptoKeyEncrypterDecrypter"

gcloud kms keys add-iam-policy-binding "my-other-key" \
    --project "KMS_PROJECT_ID" \
    --location "us-central1" \
    --keyring "secret-manager-cmek" \
    --member "serviceAccount:SM_SERVICE_IDENTITY" \
    --role "roles/cloudkms.cryptoKeyEncrypterDecrypter"

새 Cloud KMS 키 리소스 이름으로 보안 비밀의 복제를 업데이트하여 보안 비밀의 CMEK 구성을 수정합니다.

gcloud

gcloud secrets replication update "my-ummr-secret" \
    --set-kms-key "projects/KMS_PROJECT_ID/locations/us-east1/keyRings/secret-manager-cmek/cryptoKeys/my-other-key" \
    --location us-east1 \
    --project "SM_PROJECT_ID"

gcloud secrets replication update "my-ummr-secret" \
    --set-kms-key "projects/KMS_PROJECT_ID/locations/us-central1/keyRings/secret-manager-cmek/cryptoKeys/my-other-key" \
    --location us-central1 \
    --project "SM_PROJECT_ID"

보안 비밀의 키 여러 개를 동시에 업데이트하려면 파일을 통해 복제 정책을 가져오고 설정하면 됩니다.

gcloud

gcloud secrets replication get "my-ummr-secret" \
    --project "SM_PROJECT_ID" \
    --format=json > ./replication-policy.json

원하는 편집기에서 원하는 CMEK 구성을 반영하도록 파일을 업데이트합니다. 그런 다음 새 정책을 설정합니다.

gcloud secrets replication set "my-ummr-secret" \
    --replication-policy-file ./replication-policy.json \
    --project "SM_PROJECT_ID"

API

curl "https://secretmanager.googleapis.com/v1/projects/${SM_PROJECT_ID}/secrets/my-ummr-secret?updateMask=replication" \
    --request "PATCH" \
    --header "Authorization: Bearer ACCESS_TOKEN" \
    --header "Content-Type: application/json" \
    --data-binary @- <<EOF
{
  "replication":{
    "userManaged":{
      "replicas":[
        {
          "location":"us-east1",
          "customerManagedEncryption":{
            "kmsKeyName":"projects/KMS_PROJECT_ID/locations/us-east1/keyRings/secret-manager-cmek/cryptoKeys/my-other-key"
          }
        },
        {
          "location":"us-central1",
          "customerManagedEncryption":{
            "kmsKeyName":"projects/KMS_PROJECT_ID/locations/us-central1/keyRings/secret-manager-cmek/cryptoKeys/my-other-key"
          }
        }]
      }
    }
  }
EOF

보안 비밀 버전 CMEK 구성 보기

보안 비밀 버전이 사용 설정된 CMEK이고 CMEK 키 버전의 리소스 이름인지 여부를 비롯한 보안 비밀 버전의 메타데이터를 검사하려면 메타데이터를 봅니다.

gcloud

gcloud secrets versions describe "latest" \
    --secret "SECRET_ID" \
    --project "SM_PROJECT_ID"

API

curl "https://secretmanager.googleapis.com/v1/projects/SM_PROJECT_ID/secrets/SECRET_ID/versions/latest" \
    --request "GET" \
    --header "Authorization: Bearer ACCESS_TOKEN" \
    --header "Content-Type: application/json"

그러면 보안 비밀 버전을 암호화하는 데 사용되는 키 버전의 전체 Cloud KMS 리소스 이름이 반환됩니다.

{
  "name": "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/1",
  "createTime": "2021-07-...",
  "state": "ENABLED",
  "replicationStatus": {
    "automatic": {
      "customerManagedEncryption": {
        "kmsKeyVersionName": "projects/KMS_PROJECT_ID/locations/global/keyRings/secret-manager-cmek/cryptoKeys/my-cmek-key/cryptoKeyVersions/1"
      }
    }
  }
}

CMEK 정책에 Cloud EKM 키 추가

이 섹션에서는 Cloud EKM 키를 CMEK 정책에 추가하는 방법을 설명합니다. 이 단계를 통해 Cloud EKM 키를 사용하여 보안 비밀을 암호화하거나 복호화할 수 있습니다.

Cloud EKM은 현재 global 멀티 리전을 지원하지 않으므로 Cloud EKM 키는 사용자 관리 복제용으로 구성된 보안 비밀에만 사용할 수 있습니다.

us-central1 Cloud KMS 리전(또는 global을 제외한 모든 리전)에서 대칭 키를 만듭니다. 이 예시에서는 secret-manager-cmek-ekm이라는 새 키링을 만든 후 키링에 my-ekm-key라는 새 키를 만듭니다.

gcloud

새 키링을 만듭니다.

gcloud kms keyrings create "secret-manager-cmek-ekm" \
  --project "KMS_PROJECT_ID" \
  --location "us-central1"

이 키링에 키를 만듭니다.

gcloud kms keys create "my-ekm-key" \
  --keyring "secret-manager-cmek-ekm" \
  --location "us-central1" \
  --purpose "encryption" \
  --protection-level "external" \
  --skip-initial-version-creation \
  --default-algorithm "external-symmetric-encryption"

그런 다음 키의 외부 URI를 사용하여 새 버전의 my-ekm-key를 만듭니다. Cloud EKM 키의 외부 URI에 대한 자세한 내용은 외부 키 만들기를 참조하세요.

gcloud

gcloud kms keys versions create \
  --key "my-ekm-key" \
  --keyring "secret-manager-cmek-ekm" \
  --location "us-central1" \
  --external-key-uri EXTERNAL_KEY_URI \
  --primary

외부 키를 사용하여 서비스 ID에 암호화 및 복호화할 수 있는 Secret Manager 액세스 권한을 부여합니다. 이 명령어는 my-ekm-key에 대한 Cloud KMS 암호화/복호화 역할(roles/cloudkms.cryptoKeyEncrypterDecrypter)을 서비스 ID에 부여합니다.

gcloud

gcloud kms keys add-iam-policy-binding "my-ekm-key" \
  --project "KMS_PROJECT_ID" \
  --location "us-central1" \
  --keyring "secret-manager-cmek-ekm" \
  --member "serviceAccount:SM_SERVICE_IDENTITY" \
  --role "roles/cloudkms.cryptoKeyEncrypterDecrypter"

Cloud EKM 키를 사용하는 CMEK가 사용 설정된 보안 비밀을 만듭니다.

gcloud

cat <<EOF > ./replication-policy.json
{
  "userManaged":{
    "replicas":[
      {
        "location":"us-central1",
        "customerManagedEncryption":{
          "kmsKeyName":"projects/KMS_PROJECT_ID/locations/us-central1/keyRings/secret-manager-cmek-ekm/cryptoKeys/my-ekm-key"
        }
      }
    ]
  }
}
EOF

gcloud secrets create "my-ekm-secret" \
    --replication-policy-file ./replication-policy.json \
    --project "SM_PROJECT_ID"

이제 my-ekm-secret에 보안 비밀 버전이 생성될 때마다 서비스 ID에 키에 대한 액세스 권한이 있는 한 보안 비밀 버전의 페이로드는 영구 스토리지에 작성되기 전에 Cloud EKM 키를 통해 자동으로 암호화됩니다. 서비스 ID에 액세스 권한이 없거나 키를 사용할 수 없게 된 경우 새로운 보안 비밀 버전을 만들거나 기존 보안 비밀에 액세스하려고 하면 오류가 반환됩니다.

새 보안 비밀 버전을 추가합니다. 키의 리소스 이름은 보안 비밀의 메타데이터에서 읽습니다.

gcloud

echo -n "SECRET_DATA" | gcloud secrets versions add "my-ekm-secret" \
    --project "SM_PROJECT_ID" \
    --data-file -

호출자에게 키를 사용할 수 있는 직접 액세스 권한이 없더라도 보안 비밀 버전이 생성됩니다. 호출자가 아닌 Secret Manager의 서비스 ID는 보안 비밀을 읽거나 쓸 때 암호화하고 복호화해야 합니다.

방금 만든 보안 비밀 버전에 액세스합니다. 여기에서 서비스 ID는 키에 액세스하고 개발자를 대신하여 보안 비밀을 암호화하거나 복호화합니다.

gcloud

gcloud secrets versions access "latest" \
  --project "SM_PROJECT_ID" \
  --secret "my-ekm-secret"

CMEK 사용 중지

복제 정책을 업데이트하여 보안 비밀에서 CMEK 구성을 삭제합니다.

gcloud

gcloud secrets replication update "SECRET_ID" --remove-cmek \
    --project "SM_PROJECT_ID"

API

curl "https://secretmanager.googleapis.com/v1/projects/${SM_PROJECT_ID}/secrets/SECRET_ID?updateMask=replication" \
    --request "PATCH" \
    --header "Authorization: Bearer ACCESS_TOKEN" \
    --header "Content-Type: application/json" \
    --data-binary @- <<EOF
{
  "replication":{
    "automatic":{}
  }
}
EOF

다음 단계

CMEK 자세히 알아보기

Secret Manager에 고객 관리 암호화 키 사용 설정 컬렉션을 사용해 정리하기 내 환경설정을 기준으로 콘텐츠를 저장하고 분류하세요.

Cloud KMS Autokey를 사용하는 CMEK

Secret Manager에서 CMEK 작동 방식

제한사항

시작하기 전에

gcloud

서비스 에이전트 ID 만들기

gcloud

자동 복제 기능이 있는 CMEK

gcloud

gcloud

gcloud

API

gcloud

gcloud

CMEK 구성 업데이트

gcloud

gcloud

gcloud

API

사용자 관리 복제 기능이 있는 CMEK

gcloud

gcloud

gcloud

API

gcloud

gcloud

CMEK 구성 업데이트

gcloud

gcloud

gcloud

gcloud

API

보안 비밀 버전 CMEK 구성 보기

gcloud

API

CMEK 정책에 Cloud EKM 키 추가

gcloud

gcloud

gcloud

gcloud

gcloud

gcloud

CMEK 사용 중지

gcloud

API

다음 단계

Secret Manager에 고객 관리 암호화 키 사용 설정