Cloud KMS에서 데이터를 암호화, 복호화, 서명, 확인하는 데 사용하는 암호화 키 자료는 하나의 키 버전에 저장됩니다. 키에는 0개 이상의 키 버전이 있습니다. 키를 순환할 때는 새 키 버전을 생성하세요.
이 주제에서는 키 버전을 사용 중지하는 방법을 보여줍니다. 키가 사용 중지된 기간 동안에는 해당 키로 암호화된 데이터에 액세스할 수 없습니다. 데이터에 액세스하려면 키 버전을 다시 사용 설정해야 합니다.
키 버전 사용 중지는 수초에서 3시간까지 범위 내에서 일관성을 갖습니다. 키 버전 사용 설정은 거의 즉시 적용됩니다. Identity and Access Management(IAM)를 사용하여 키 버전에 대한 액세스를 관리할 수도 있습니다. IAM 작업은 수초 범위 내에서 일관성을 갖습니다. 자세한 내용은 IAM 사용을 참조하세요.
영구적으로 키 버전을 폐기할 수도 있습니다. 조직 정책에 따라서는 키 버전을 폐기하기 전에 사용 중지해야 할 수 있습니다. 자세한 내용은 키 버전 폐기 제어를 참조하세요.
키 버전 사용 중지
사용 설정됨 상태의 키 버전을 사용 중지할 수 있습니다. 키 버전을 사용 중지하기 전에 키가 아직 사용 중인지 확인하는 것이 좋습니다. 키의 키 사용 추적 세부정보를 확인하여 CMEK 리소스를 보호하는지 확인할 수 있습니다. 리소스가 사용 중지하려는 키 버전으로 보호되는 경우 키를 사용 중지하기 전에 다른 키 버전으로 다시 암호화합니다.
Google Cloud 콘솔에서 키 관리 페이지로 이동합니다.
키 버전을 중지하려는 키가 포함된 키링의 이름을 클릭합니다.
키 버전을 사용 중지할 키를 클릭합니다.
사용 중지하려는 키 버전 옆의 체크 박스를 선택합니다.
헤더에서 사용 중지를 클릭합니다.
확인 대화상자에서 사용 중지를 클릭합니다.
명령줄에서 Cloud KMS를 사용하려면 먼저 최신 버전의 Google Cloud CLI로 설치 또는 업그레이드하세요.
gcloud kms keys versions disablekey-version \ --keykey \ --keyringkey-ring \ --locationlocation
key-version을 사용 중지할 키 버전으로 바꿉니다. key를 키 이름으로 바꿉니다. key-ring을 키가 배치된 키링의 이름으로 바꿉니다. location을 키링의 Cloud KMS 위치로 바꿉니다.
모든 플래그 및 가능한 값에 대한 정보를 보려면 --help
플래그와 함께 명령어를 실행하세요.
이 코드를 실행하려면 먼저 C# 개발 환경을 설정하고 Cloud KMS C# SDK를 설치합니다.
이 코드를 실행하려면 먼저 Go 개발 환경을 설정하고 Cloud KMS Go SDK를 설치합니다.
이 코드를 실행하려면 먼저 자바 개발 환경을 설정하고 Cloud KMS 자바 SDK를 설치합니다.
이 코드를 실행하려면 먼저 Node.js 개발 환경을 설정하고 Cloud KMS Node.js SDK를 설치합니다.
이 코드를 실행하려면 먼저 Google Cloud에서 PHP 사용에 관해 알아보고 Cloud KMS PHP SDK 설치하세요.
이 코드를 실행하려면 먼저 Python 개발 환경을 설정하고 Cloud KMS Python SDK를 설치합니다.
이 코드를 실행하려면 먼저 Ruby 개발 환경을 설정하고 Cloud KMS Ruby SDK를 설치합니다.
요청을 제출하면 키 버전 상태가 사용 중지됨으로 변경됩니다.
사용 중지된 키 버전은 청구 대상 리소스입니다.
외부 키 사용 중지 또는 폐기
Cloud EKM 키와 외부 키 사이의 연결을 일시적으로 사용 중지하려면 Cloud EKM 키 또는 키 버전을 사용 중지할 수 있습니다. 모든 키 버전을 중지하는 것이 좋습니다. 키 사용 중지는 3시간 내에 적용됩니다.
키를 사용 중지할 때는 키에 대한 액세스 권한도 취소해야 합니다. IAM 작업은 수초 범위 내에서 일관성을 갖습니다. 외부 키 관리 파트너 시스템에서 Google Cloud 서비스 계정의 액세스 권한도 취소하는 것이 좋습니다.
Cloud EKM 키와 외부 키 사이의 연결을 영구적으로 삭제하려면 Cloud EKM 키 버전 폐기를 예약할 수 있습니다. 폐기 예약 기간이 지나면 키가 폐기됩니다. 키 버전 폐기는 영구적입니다. 키 버전이 폐기되면 Cloud EKM 키 버전으로 암호화된 데이터를 더 이상 암호화하거나 복호화할 수 없습니다. 동일한 외부 키 URI 또는 키 경로를 사용하는 경우에도 폐기된 Cloud EKM 키 버전을 다시 만들 수 없습니다. 외부 키 자료를 폐기할 때는 Google Cloud에서 키 또는 키 버전을 먼저 폐기하고, Cloud EKM 키를 폐기한 후 외부 키 관리자에서 키 자료를 폐기하는 것이 좋습니다.
Cloud KMS에서 키 또는 키 버전을 사용 중지해도 외부 키 관리 파트너 시스템의 키는 수정되지 않습니다.
Cloud KMS에서 수동으로 관리되는 키 버전을 폐기해도 외부 키 관리 파트너 시스템의 키는 수정되지 않습니다. Cloud KMS에서 조정된 외부 키 버전을 폐기하면 내부 키 자료가 폐기되고 외부 키 관리 파트너 시스템에 요청을 보내 외부 키 자료를 폐기합니다.
키 버전 사용 설정
사용 중지됨 상태의 키 버전을 사용 설정할 수 있습니다.
Google Cloud 콘솔에서 키 관리 페이지로 이동합니다.
키 버전을 사용 설정하려는 키가 포함된 키링의 이름을 클릭합니다.
키 버전을 사용 설정할 키를 클릭합니다.
사용 설정하려는 키 버전 옆에 있는 상자를 선택합니다.
헤더에서 사용 설정을 클릭합니다.
확인 대화상자에서 사용을 클릭합니다.
명령줄에서 Cloud KMS를 사용하려면 먼저 최신 버전의 Google Cloud CLI로 설치 또는 업그레이드하세요.
gcloud kms keys versions enablekey-version \ --keykey \ --keyringkey-ring \ --locationlocation
key-version을 사용 설정할 키 버전으로 바꿉니다. key를 키 이름으로 바꿉니다. key-ring을 키가 배치된 키링의 이름으로 바꿉니다. location을 키링의 Cloud KMS 위치로 바꿉니다.
모든 플래그 및 가능한 값에 대한 정보를 보려면 --help
플래그와 함께 명령어를 실행하세요.
이 코드를 실행하려면 먼저 C# 개발 환경을 설정하고 Cloud KMS C# SDK를 설치합니다.
이 코드를 실행하려면 먼저 Go 개발 환경을 설정하고 Cloud KMS Go SDK를 설치합니다.
이 코드를 실행하려면 먼저 자바 개발 환경을 설정하고 Cloud KMS 자바 SDK를 설치합니다.
이 코드를 실행하려면 먼저 Node.js 개발 환경을 설정하고 Cloud KMS Node.js SDK를 설치합니다.
이 코드를 실행하려면 먼저 Google Cloud에서 PHP 사용에 관해 알아보고 Cloud KMS PHP SDK 설치하세요.
이 코드를 실행하려면 먼저 Python 개발 환경을 설정하고 Cloud KMS Python SDK를 설치합니다.
이 코드를 실행하려면 먼저 Ruby 개발 환경을 설정하고 Cloud KMS Ruby SDK를 설치합니다.
요청을 제출하면 키 버전 상태가 사용 설정됨으로 변경됩니다.
필수 IAM 권한
키 버전을 사용 설정 또는 사용 중지하려면 호출자에게 키, 키링 또는 프로젝트, 폴더 또는 조직에 대한 cloudkms.cryptoKeyVersions.update
Cloud IAM 권한이 필요합니다.
이 권한은 Cloud KMS 관리자 역할(roles/cloudkms.admin
)에 부여됩니다.