CMEK를 사용하여 워크스테이션 리소스 암호화

기본적으로 Cloud Workstations는 데이터가 저장 중일 때 Google 소유 및 Google 관리 키를 사용하여 VM 및 영구 디스크와 같은 워크스테이션 리소스를 암호화합니다. 데이터 보호 키와 관련된 특정 규정 준수나 규제 요구사항이 있으면 Cloud Key Management Service(Cloud KMS)를 사용하는 고객 관리 암호화 키(CMEK)를 사용하면 됩니다.

CMEK를 사용 설정하는 시기와 이유를 포함한 일반적인 CMEK에 대한 자세한 내용은 Cloud KMS 문서를 참조하세요.

시작하기 전에

프로젝트 만들기

Google Cloud 콘솔의 프로젝트 선택기 페이지에서 2개의 Google Cloud 프로젝트를 선택하거나 만듭니다.:
- 키 프로젝트에는 키링과 대칭 암호화 키를 비롯한 Cloud KMS 리소스가 포함됩니다.
- 워크스테이션 프로젝트에는 CMEK 키로 암호화된 워크스테이션이 포함됩니다.
키 프로젝트와 워크스테이션 프로젝트에 동일한 프로젝트를 사용할 수 있지만 업무 분장을 위해 2개의 프로젝트를 사용하는 것이 좋습니다.

참고: 이 절차에서 만드는 리소스를 유지하지 않으려면 기존 프로젝트를 선택하는 대신 프로젝트를 새로 만드세요. 작업이 끝나면 프로젝트를 삭제하여 두 프로젝트와 관련된 모든 리소스를 삭제할 수 있습니다.
Cloud 프로젝트에 결제가 사용 설정되어 있는지 확인합니다. 프로젝트에 결제가 사용 설정되어 있는지 확인하는 방법을 알아보세요.
각 프로젝트에 필요한 API를 사용 설정합니다.
- 키 프로젝트에서 Cloud KMS API를 사용 설정했는지 확인합니다.
  
  Cloud KMS API 사용 설정
- 워크스테이션 프로젝트에서 Cloud KMS 및 Cloud Workstations API를 사용 설정했는지 확인합니다.
  
  Cloud KMS 및 Cloud Workstations API 사용 설정
gcloud CLI를 설치하고 초기화합니다. gcloud CLI를 초기화하려면 다음 명령어를 실행합니다.
```
gcloud init
```

필요한 역할

Cloud KMS 관리자 및 Cloud Workstations 관리자 역할을 동일한 사람에게 부여할 수 있지만 역할을 할당할 때는 최소 권한의 원칙을 따르는 것이 좋습니다. Cloud KMS에게 Cloud Workstations 관리자 역할도 수행하도록 요청하는 대신 권장사항에 따라 역할을 2명의 개별 사용자에게 부여하고 서로 협력하도록 지정합니다. 자세한 내용은 보안 권장사항 및 안전하게 IAM 사용을 참조하세요.

CMEK를 설정하는데 필요한 권한을 얻으려면 관리자에게 다음 IAM 역할을 부여해 달라고 요청하세요.

Cloud KMS 관리자인 경우 Cloud KMS 리소스를 만들고 관리할 수 있도록 관리자에게 키 프로젝트에 대한 Cloud KMS 관리자(roles/cloudkms.admin) 역할을 부여해 달라고 요청하세요.
Cloud Workstations 관리자인 경우 워크스테이션을 만들고 업데이트할 수 있도록 관리자에게 워크스테이션 프로젝트에 대한 Cloud Workstations 관리자(roles/workstations.admin) 역할을 부여해 달라고 요청하세요.

역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

커스텀 역할이나 다른 사전 정의된 역할을 통해 필요한 권한을 얻을 수도 있습니다.

키링 및 암호화 키 만들기

키 프로젝트에서 키를 만들고 키의 리소스 ID를 저장합니다.

키링을 만들거나 선택합니다.

서비스 간에 키링을 공유할 수 있지만 권장사항에 따라 각 보호 리소스에 대해 서로 다른 키를 사용하는 것이 좋습니다. 업무 분장을 참조하세요.
대칭 암호화 키를 만듭니다.

같은 리전에 CMEK 키 및 워크스테이션 구성을 만듭니다.
키의 리소스 ID를 가져오고 이후 단계를 위해 이를 저장합니다.

워크스테이션 구성 확인

Google Cloud 콘솔에 사용 가능한 워크스테이션 구성이 없으면 Cloud Workstations 관리자에게 워크스테이션 구성을 만들도록 요청합니다. 또는 리소스를 직접 만들 수 있도록 프로젝트에 대해 Cloud Workstations 관리자 IAM 역할이 있는지 확인합니다.

고객 관리 암호화 키 사용

워크스테이션 구성에서 CMEK를 사용하려면 Google Cloud 콘솔 또는 gcloud CLI에서 CMEK를 사용 설정합니다.

콘솔

Compute Engine 서비스 계정과 Compute Engine 서비스 에이전트에 Cloud KMS CryptoKey 암호화/복호화 역할 및 Cloud KMS 뷰어 역할을 부여합니다.

Google Cloud 콘솔에서 키 관리 페이지로 이동합니다.

키 관리로 이동
키가 포함된 키링의 이름을 클릭합니다.
사용할 키의 체크박스를 선택합니다.

권한 탭이 창으로 표시됩니다.
구성원 추가 대화상자에서 액세스 권한을 부여할 Compute Engine 서비스 계정과 Compute Engine 서비스 에이전트의 이메일 주소를 지정합니다.
역할 선택 드롭다운에서 Cloud KMS CryptoKey 암호화/복호화를 선택합니다.
다른 역할 추가를 클릭합니다.
역할 선택 드롭다운에서 Cloud KMS 뷰어를 선택합니다.
저장을 클릭합니다.

Google Cloud 콘솔에서 CMEK를 사용 설정하려면 다음 안내를 따르세요.

단계에 따라 워크스테이션 구성 만들기를 수행합니다.
머신 구성을 지정할 때 고급 옵션 섹션을 찾습니다.
expand_more더보기를 클릭하고 고객 관리 암호화 키(CMEK) 사용을 선택합니다.
1. 고객 관리 키 선택 필드에서 키 프로젝트에 만든 고객 관리 암호화 키를 선택합니다.
  
  만든 키가 목록에 없으면 직접 키 입력을 클릭해서 리소스 ID로 키를 선택한 후 이전에 확인한 리소스 ID를 입력합니다.
2. 서비스 계정 필드에서 키에 사용되는 서비스 계정을 선택합니다.
다른 단계를 완료해서 워크스테이션 구성을 만듭니다.
워크스테이션 구성을 만들고, 시작 및 실행하여 프로젝트에서 지정된 Cloud KMS 키를 사용하여 영구 디스크를 암호화합니다.

gcloud

다음 예시는 워크스테이션 구성에 이 키를 지정해서 Cloud KMS 키에 대해 액세스를 제공한 후 CMEK를 사용 설정하는 IAM 역할을 부여합니다.

워크스테이션 프로젝트의 KMS 서비스 계정과 Compute Engine 서비스 에이전트에 CMEK 키에 대한 Cloud KMS CryptoKey 암호화/복호화 역할(roles/cloudkms.cryptoKeyEncrypterDecrypter)을 부여합니다. 이렇게 하면 Compute Engine 서비스가 지정된 CMEK 키를 사용하여 프로젝트에서 암호화된 리소스를 만들 수 있습니다.
```
  gcloud kms keys add-iam-policy-binding KEY_NAME \
    --location LOCATION \
    --keyring KEY_RING \
    --member serviceAccount:WORKSTATIONS_PROJECT_NUMBER-compute@developer.gserviceaccount.com \
    --role roles/cloudkms.cryptoKeyEncrypterDecrypter \
    --project KMS_PROJECT_ID

  gcloud kms keys add-iam-policy-binding KEY_NAME \
    --location LOCATION \
    --keyring KEY_RING \
    --member serviceAccount:service-WORKSTATIONS_PROJECT_NUMBER@compute-system.iam.gserviceaccount.com \
    --role roles/cloudkms.cryptoKeyEncrypterDecrypter \
    --project KMS_PROJECT_ID
```
다음을 바꿉니다.
- KEY_NAME: 키의 이름입니다.
- LOCATION: 키링을 만든 리전 이름입니다.
- KEY_RING: 키링의 이름입니다.
- WORKSTATIONS_PROJECT_NUMBER: 워크스테이션 프로젝트의 Compute Engine 기본 서비스 계정의 첫 번째 부분으로 포함되었고 자동으로 생성된 고유한 숫자 식별자입니다.
- KMS_PROJECT_ID: Google Cloud의 다른 모든 프로젝트로부터 Cloud KMS 프로젝트를 구분하기 위해 사용되는 고유한 문자열인 프로젝트 ID입니다.
모든 플래그 및 가능한 값에 대한 정보를 보려면 --help 플래그와 함께 명령어를 실행하세요.
워크스테이션 프로젝트의 워크스테이션 관리 서비스 계정을 검색하려면 다음 명령어를 사용합니다.
```
gcloud beta services identity create --service=workstations.googleapis.com \
    --project=WORKSTATIONS_PROJECT_ID
```
WORKSTATIONS_PROJECT_ID를 워크스테이션 프로젝트 ID로 바꿉니다.

참고: 워크스테이션 관리 서비스 계정은 다음과 같은 형식입니다.
service-$WORKSTATIONS_PROJECT_NUMBER@gcp-sa-workstations.iam.gserviceaccount.com
프로젝트의 워크스테이션 관리 서비스 계정에 CMEK 키에 대한 Cloud KMS 뷰어 역할(roles/cloudkms.viewer)을 부여합니다. 그러면 워크스테이션 서비스에서 키 순환을 감지하고 프로젝트에서 필요한 만큼 리소스를 다시 암호화합니다.
```
gcloud kms keys add-iam-policy-binding KEY_NAME \
    --location LOCATION \
    --keyring KEY_RING \
    --member WORKSTATIONS_MANAGEMENT_SERVICE_ACCOUNT \
    --role roles/cloudkms.viewer \
    --project KMS_PROJECT_ID
```
다음을 바꿉니다.
- KEY_NAME: 키의 이름입니다.
- LOCATION: 키링을 만든 리전 이름입니다.
- KEY_RING: 키링의 이름입니다.
- WORKSTATIONS_MANAGEMENT_SERVICE_ACCOUNT: 위 단계에서 가져온 워크스테이션 관리 서비스 계정입니다.
- KMS_PROJECT_ID: Google Cloud의 다른 모든 프로젝트로부터 Cloud KMS 키 프로젝트를 구분하기 위해 사용되는 고유한 문자열인 프로젝트 ID입니다.
모든 플래그 및 가능한 값에 대한 정보를 보려면 --help 플래그와 함께 명령어를 실행하세요.
선택사항: 아직 워크스테이션 클러스터를 만들지 않았으면 clusters create gcloud CLI 명령어를 사용하여 만듭니다.
```
gcloud workstations clusters create \
    WORKSTATIONS_CLUSTER_NAME --region=LOCATION \
    --project=WORKSTATIONS_PROJECT_NUMBER
```
다음을 바꿉니다.
- WORKSTATIONS_CLUSTER_NAME: 워크스테이션 클러스터의 이름입니다.
- LOCATION: 워크스테이션 클러스터의 리전 이름입니다.
- WORKSTATIONS_PROJECT_NUMBER: 워크스테이션 프로젝트의 Compute Engine 기본 서비스 계정의 첫 번째 부분으로 포함되었고 자동으로 생성된 고유한 숫자 식별자입니다.
이미 클러스터를 만들었다고 가정하고 encryption_key 설정을 사용해서 워크스테이션 구성을 만듭니다.

머신 유형 e2-standard-2, 유휴 상태 제한 시간 3600s, CMEK 암호화된 워크스테이션 리소스를 사용해서 워크스테이션 구성을 만들려면 다음 gcloud CLI 명령어를 실행합니다.
```
gcloud workstations configs create WORKSTATIONS_CONFIG_NAME \
  --cluster=WORKSTATIONS_CLUSTER_NAME \
  --region=LOCATION \
  --machine-type="e2-standard-2" \
  --idle-timeout=3600 \
  --kms-key="projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME" \
  --kms-key-service-account="WORKSTATIONS_PROJECT_NUMBER-compute@developer.gserviceaccount.com" \
  --project=WORKSTATIONS_PROJECT_NUMBER
```
다음을 바꿉니다.
- WORKSTATIONS_CONFIG_NAME: 워크스테이션 구성의 이름입니다.
- WORKSTATIONS_CLUSTER_NAME: 워크스테이션 클러스터의 이름입니다.
- LOCATION: 클러스터의 리전 이름입니다.
- KMS_PROJECT_ID: Google Cloud에서 프로젝트를 다른 모든 프로젝트와 구분하는 데 사용되는 고유한 문자열인 프로젝트 ID입니다.
- KEY_RING: 키링의 이름입니다.
- KEY_NAME: 키의 이름입니다.
- WORKSTATIONS_PROJECT_NUMBER: 워크스테이션 프로젝트의 Compute Engine 기본 서비스 계정의 첫 번째 부분으로 포함되었고 자동으로 생성된 고유한 숫자 식별자입니다.
워크스테이션 구성을 만든 후 Cloud KMS가 프로젝트의 영구 디스크를 지정된 Cloud KMS 키를 사용해서 암호화합니다.

고객 관리 암호화 키 순환

워크스테이션 관리 서비스 계정에 CMEK 키에 대한 Cloud KMS 뷰어 역할(roles/cloudkms.viewer)을 부여하면 워크스테이션 서비스에서 키 순환을 감지하고 새 기본 키 버전을 사용하여 홈 디스크를 다시 암호화할 수 있습니다.

워크스테이션을 중지하면 다시 암호화가 수행됩니다. 암호화된 워크스테이션을 중지할 때마다 워크스테이션 서비스는 키가 순환되었는지 확인합니다. 키가 순환된 경우 워크스테이션 서비스는 워크스테이션 홈 디스크 스냅샷을 만들고 디스크를 삭제합니다. 다음에 워크스테이션을 시작하면 워크스테이션 서비스는 새 기본 키 버전을 사용하여 스냅샷에서 새 디스크를 만듭니다.

Cloud KMS 할당량 및 Cloud Workstations

Cloud Workstations에서 CMEK를 사용할 때 프로젝트는 Cloud KMS 암호화 요청 할당량을 사용할 수 있습니다. 예를 들어 CMEK로 암호화된 저장소는 각 업로드 또는 다운로드에 대해 이 할당량을 사용할 수 있습니다. CMEK 키를 사용하는 암호화 및 복호화 작업은 하드웨어(Cloud HSM) 또는 외부(Cloud EKM) 키를 사용하는 경우에만 Cloud KMS 할당량에 영향을 미칩니다. 자세한 내용은 Cloud KMS 할당량을 참조하세요.

외부 키

Cloud 외부 키 관리자(Cloud EKM)를 사용하여 관리하는 외부 키를 사용하여 Google Cloud 내 데이터를 암호화할 수 있습니다.

Cloud EKM 키를 사용하는 경우 Google은 외부 관리 키의 가용성을 제어 할 수 없습니다. 키를 사용할 수 없으면 워크스테이션을 시작할 수 없습니다.

외부 키 사용 시 고려사항은 Cloud 외부 키 관리자를 참조하세요.

다음 단계

고객 관리 암호화 키 알아보기
암호화란 무엇인가요? 알아보기