이 페이지는 Cloud Translation API를 통해 번역되었습니다.

기본 키 액세스 근거 정책 설정

이 페이지에서는 Assured Workloads의 기본 키 액세스 근거 정책을 구성하는 방법을 보여줍니다. 조직, 폴더 또는 프로젝트의 기본 키 액세스 근거 정책을 설정할 수 있습니다. 키가 생성될 때 키 액세스 근거 정책이 설정되지 않는 한 기본 키 액세스 근거 정책이 해당 리소스 내에서 생성된 새 키에 자동으로 적용됩니다. 기본 키 액세스 근거 정책은 기존 키에는 적용되지 않습니다.

시작하기 전에

Cloud KMS 키의 기본 키 액세스 근거 정책을 설정하는 기능은 Assured Workloads의 일본 리전 제어 패키지에서만 사용할 수 있습니다.

필수 IAM 권한

기본 키 액세스 근거 정책을 만들고 관리하는 데 필요한 권한을 얻으려면 관리자에게 키가 포함된 조직, 폴더 또는 프로젝트에 대한 키 액세스 근거 정책 구성 관리자 (roles/cloudkms.keyAccessJustificationsPolicyConfigAdmin) IAM 역할을 부여해 달라고 요청하세요. 역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

이 사전 정의된 역할에는 기본 키 액세스 근거 정책을 만들고 관리하는 데 필요한 권한이 포함되어 있습니다. 필요한 정확한 권한을 보려면 필수 권한 섹션을 펼치세요.

필수 권한

기본 키 액세스 근거 정책을 만들고 관리하려면 다음 권한이 필요합니다.

cloudkms.keyAccessJustificationsConfig.getKeyAccessJustificationsPolicyConfig
cloudkms.keyAccessJustificationsConfig.updateKeyAccessJustificationsPolicyConfig
cloudkms.keyAccessJustificationsConfig.showEffectiveKeyAccessJustificationsPolicyConfig

커스텀 역할이나 다른 사전 정의된 역할을 사용하여 이 권한을 부여받을 수도 있습니다.

기본 키 액세스 근거 정책 설정

REST

organizations.updateKeyAccessJustificationsPolicyConfig 메서드를 사용하여 조직에서 기본 키 액세스 근거 정책을 만들거나 업데이트합니다.

curl "https://cloudkms.googleapis.com/v1/organizations/ORGANIZATION_ID/kajPolicyConfig?updateMask=defaultKeyAccessJustificationPolicy" \
  --request "PATCH" \
  --header "authorization: Bearer TOKEN" \
  --header "content-type: application/json" \
  --data '{"name": "organizations/ORGANIZATION_ID/kajPolicyConfig", "defaultKeyAccessJustificationPolicy": POLICY}'

다음을 바꿉니다.

ORGANIZATION_ID: 기본 키 액세스 근거 정책을 설정하려는 조직의 ID입니다.
POLICY: 허용된 allowedAccessReasons를 나열하는 키 액세스 근거 정책입니다. JSON 객체로 형식이 지정됩니다(예: {"allowedAccessReasons": ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]}). 가능한 근거 이유 목록은 근거 코드를 참고하세요.

folders.updateKeyAccessJustificationsPolicyConfig 메서드를 사용하여 폴더에 기본 키 액세스 근거 정책을 만들거나 업데이트합니다.

curl "https://cloudkms.googleapis.com/v1/folders/FOLDER_ID/kajPolicyConfig?updateMask=defaultKeyAccessJustificationPolicy" \
  --request "PATCH" \
  --header "authorization: Bearer TOKEN" \
  --header "content-type: application/json" \
  --data '{"name": "folders/FOLDER_ID/kajPolicyConfig", "defaultKeyAccessJustificationPolicy": POLICY}'

다음을 바꿉니다.

FOLDER_ID: 기본 키 액세스 근거 정책을 설정하려는 폴더의 ID입니다.
POLICY: 허용된 allowedAccessReasons를 나열하는 키 액세스 근거 정책입니다. JSON 객체로 형식이 지정됩니다(예: {"allowedAccessReasons": ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]}). 가능한 근거 이유 목록은 근거 코드를 참고하세요.

projects.updateKeyAccessJustificationsPolicyConfig 메서드를 사용하여 프로젝트에서 기본 키 액세스 근거 정책을 만들거나 업데이트합니다.

curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/kajPolicyConfig?updateMask=defaultKeyAccessJustificationPolicy" \
  --request "PATCH" \
  --header "authorization: Bearer TOKEN" \
  --header "content-type: application/json" \
  --data '{"name": "projects/PROJECT_ID/kajPolicyConfig", "defaultKeyAccessJustificationPolicy": POLICY}'

다음을 바꿉니다.

PROJECT_ID: 기본 키 액세스 근거 정책을 설정하려는 프로젝트의 ID입니다.
POLICY: 허용된 allowedAccessReasons를 나열하는 키 액세스 근거 정책입니다. JSON 객체로 형식이 지정됩니다(예: {"allowedAccessReasons": ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]}). 가능한 근거 이유 목록은 근거 코드를 참고하세요.

기본 키 액세스 근거 정책 가져오기

REST

organizations.getKajPolicyConfig 메서드를 사용하여 조직의 기존 기본 키 액세스 근거 정책에 관한 메타데이터를 가져옵니다.

curl "https://cloudkms.googleapis.com/v1/organizations/ORGANIZATION_ID/kajPolicyConfig"

ORGANIZATION_ID를 기본 키 액세스 사유 정책을 가져올 조직의 ID로 바꿉니다.

응답은 다음 예시와 유사합니다.

{
  "name" : "organizations/ORGANIZATION_ID/kajPolicyConfig"
  "defaultKeyAccessJustificationPolicy": {
    "allowedAccessReasons": [
      "CUSTOMER_INITIATED_ACCESS",
      "GOOGLE_INITIATED_SYSTEM_OPERATION"
    ]
  }
}

folders.getKajPolicyConfig 메서드를 사용하여 폴더의 기존 기본 키 액세스 근거 정책에 관한 메타데이터를 가져옵니다.

curl "https://cloudkms.googleapis.com/v1/folders/FOLDER_ID/kajPolicyConfig"

FOLDER_ID를 기본 키 액세스 근거 정책을 가져오려는 폴더의 ID로 바꿉니다.

응답은 다음 예시와 유사합니다.

{
  "name" : "folders/FOLDER_ID/kajPolicyConfig"
  "defaultKeyAccessJustificationPolicy": {
    "allowedAccessReasons": [
      "CUSTOMER_INITIATED_ACCESS",
      "GOOGLE_INITIATED_SYSTEM_OPERATION"
    ]
  }
}

projects.getKajPolicyConfig 메서드를 사용하여 프로젝트의 기존 기본 키 액세스 근거 정책에 대한 메타데이터를 가져옵니다.

curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/kajPolicyConfig"

PROJECT_ID를 기본 키 액세스 근거 정책을 가져오려는 프로젝트의 ID로 바꿉니다.

응답은 다음 예시와 유사합니다.

{
  "name" : "project/PROJECT_ID/kajPolicyConfig"
  "defaultKeyAccessJustificationPolicy": {
    "allowedAccessReasons": [
      "CUSTOMER_INITIATED_ACCESS",
      "GOOGLE_INITIATED_SYSTEM_OPERATION"
    ]
  }
}

프로젝트의 유효한 기본 키 액세스 근거 정책 가져오기

프로젝트는 가장 가까운 상위 항목에서 기본 정책을 상속합니다. 단일 프로젝트의 상위 항목에 여러 기본 정책이 설정된 경우 프로젝트의 유효 정책을 가져와 해당 프로젝트에서 생성된 새 Cloud KMS 키에 적용되는 정책을 확인할 수 있습니다.

REST

projects.showEffectiveKeyAccessJustificationsPolicyConfig 메서드를 사용하여 프로젝트의 유효한 기본 키 액세스 근거 정책에 관한 메타데이터를 가져옵니다.

curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID:showEffectiveKeyAccessJustificationsPolicyConfig"

PROJECT_ID를 유효한 기본 키 액세스 근거 정책을 가져올 프로젝트의 ID로 바꿉니다.

응답은 다음 예시와 유사합니다.

{
  "effectiveKajPolicy" : {
    "name" : "folders/FOLDER_ID/kajPolicyConfig"
    "defaultKeyAccessJustificationPolicy": {
      "allowedAccessReasons": [
        "CUSTOMER_INITIATED_ACCESS",
        "GOOGLE_INITIATED_SYSTEM_OPERATION"
      ]
    }
  }
}

다음 단계

개별 키에 키 액세스 근거 정책을 설정할 수도 있습니다.