이 페이지에서는 Cloud Key Management Service(Cloud KMS)에서 제공하는 Google Workspace용 암호화 키 서비스인 Google Workspace용 Cloud HSM (CHGWS)을 온보딩하는 방법을 설명합니다. Google Workspace를 위한 Cloud HSM은 Google Workspace의 개인 정보 보호 제어를 강화하여 DISA IL5와 같은 규제 표준을 준수하고 데이터 보안을 강화할 수 있도록 지원합니다. Cloud HSM은 표준을 준수하고 가용성이 높으며 완전 관리형 키 관리 서비스로, FIPS 140-2 Level 3 규격 HSM (하드웨어 보안 모듈)에 저장된 하드웨어 지원 키를 사용하여 클라우드 규모로 운영됩니다.
시작하기 전에
Google Workspace용 Cloud HSM을 온보딩하기 전에 다음 사전 요구사항을 완료하세요.
- Google Workspace를 설정합니다.
- Google Workspace에서 Google Workspace 클라이언트 측 암호화 (CSE)를 사용 설정합니다.
- Google Workspace CSE에서 ID 공급업체 (IdP)를 구성합니다. IdP의 클라이언트 ID를 기록해 둡니다. Google Identity Platform을 사용하는 경우 Google Cloud 프로젝트에서 클라이언트 ID를 찾습니다.
- 선택사항: 웹 이외의 플랫폼 애플리케이션 (예: 모바일 또는 데스크톱)에서 CSE로 암호화된 콘텐츠에 대한 액세스를 허용하는 경우 Google Workspace 관리 콘솔의 IdP 설정에 해당 플랫폼의 클라이언트 ID를 추가합니다. 이 IdP의 모든 클라이언트 ID를 기록합니다. Google Identity Platform을 사용하는 경우 Google Cloud 프로젝트에서 이러한 클라이언트 ID를 찾습니다. 다른 ID 공급업체의 경우 이러한 클라이언트 ID를 별도로 만드세요.
Google Workspace 온보딩 요청
Google Workspace용 Cloud HSM에 온보딩하려면 온보딩 요청을 제출하세요. 다음 정보를 제공합니다.
Google Workspace ID: Google Workspace ID입니다. 고객 ID 찾기의 안내에 따라 Google Workspace ID를 찾습니다.
Google Workspace 관리자 이메일 주소: 관리자 이메일 주소의 쉼표로 구분된 목록을 제공합니다.
기본 ID 공급업체 (IdP) 세부정보:
- IdP JSON 웹 키 세트 (JWKS) URL: Google Identity Platform의 경우
https://www.googleapis.com/oauth2/v3/certs를 사용합니다. - JSON 웹 토큰 (JWT) 토큰 발급기관: Google Identity Platform의 경우
https://accounts.google.com를 사용합니다. - JWT 대상: 웹 애플리케이션용 IdP의 클라이언트 ID입니다.
- 추가 JWT 대상: 선택사항입니다. 구성된 경우 웹 이외 플랫폼 애플리케이션의 클라이언트 ID를 제공합니다. Google Identity Platform의 경우 CSE에 Google ID를 사용하는 경우에 제공된 클라이언트 ID를 사용합니다.
- IdP JSON 웹 키 세트 (JWKS) URL: Google Identity Platform의 경우
게스트 IdP 세부정보: 선택사항입니다. 게스트 IdP를 사용하는 경우 이 섹션을 작성하세요.
- 게스트 IdP JWKS URL: 게스트 IdP의 JWKS URL입니다.
- 게스트 JWT 토큰 발급자: 게스트 IdP의 JWT 토큰 발급자입니다.
- 게스트 JWT 대상: Google Meet을 제외한 웹 애플리케이션의 게스트 IdP 클라이언트 ID입니다.
- 게스트 추가 JWT 대상: 선택사항입니다. Google Meet 웹 클라이언트 ID 또는 기타 비 웹 플랫폼 애플리케이션 클라이언트 ID를 구성하는 경우 각 클라이언트 ID를 제공합니다. Google Identity Platform의 경우 CSE에 Google ID를 사용하는 경우에 제공된 클라이언트 ID를 사용합니다.
엔드포인트 위치:
us-central1예상 사용자 수: Google Workspace 인스턴스의 예상 사용자 수를 입력합니다.
IdP JWKS URL이 공개적으로 액세스 가능한지 확인합니다. IdP 관리자에게 JWT 토큰 발급자 및 JWT 대상 값을 확인합니다.
CHGWS팀에서 24~48시간 이내에 Google Workspace 설정 상태를 알려드립니다. 온보딩이 완료되면 Google Cloud Cloud KMS용 프로젝트를 설정합니다.
Cloud KMS용 Google Cloud 프로젝트 설정
Google Workspace 엔드포인트용 Cloud HSM은 암호화 작업을 위해 Cloud KMS 키를 사용합니다. Cloud KMS 키를 호스팅할 새 Google Cloud 프로젝트를 설정합니다.
Google Cloud 프로젝트 만들기 이것이 주요 프로젝트입니다. 프로젝트 ID와 프로젝트 번호를 기록해 둡니다. 설정을 완료하려면 이 정보가 필요합니다.
Google Cloud 키 프로젝트에서 Cloud KMS API를 사용 설정합니다.
Google Cloud 콘솔에서 터미널 Cloud Shell 활성화를 클릭합니다.
프로젝트 ID를 Cloud Shell 프롬프트의 프로젝트 ID와 비교하여 올바른 프로젝트에 있는지 확인합니다.
Cloud Shell을 사용하여 Google Workspace 서비스 계정용 Cloud HSM을 만듭니다.
gcloud beta services identity create --service=cloudkmskacls-pa.googleapis.com이 명령어로 생성된 서비스 ID를 기록해 둡니다. 다음 단계에서 서비스 ID 이름이 필요합니다.
생성한 서비스 계정에 CHGWS 키 서비스 에이전트 역할을 부여합니다.
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER>@gcp-sa-cloudkmskacls.iam.gserviceaccount.com \ --role=roles/cloudkmskacls.serviceAgent다음을 바꿉니다.
PROJECT_ID: 키 프로젝트의 프로젝트 ID입니다.PROJECT_NUMBER: 키 프로젝트의 프로젝트 번호입니다.
CHGWS 서비스 엔드포인트 관리
다음 섹션에서는 CHGWS 엔드포인트를 설정하고 관리하는 방법을 보여줍니다.
Cloud KMS 키 설정
CHGWS 키 서비스 엔드포인트의 Cloud KMS 리소스를 설정합니다.
us-central1리전에 키링을 만듭니다.gcloud kms keyrings create KEY_RING --location us-central1KEY_RING을 CHGWS 키링에 사용할 이름(예:CHGWS_KEY_RING)으로 바꿉니다.Cloud HSM 키를 만듭니다.
gcloud kms keys create KEY_NAME \ --protection-level "hsm" \ --keyring KEY_RING \ --location us-central1 \ --purpose "encryption" \ --rotation-period ROTATION_PERIOD \ --next-rotation-time NEXT_ROTATION_TIME다음을 바꿉니다.
KEY_NAME: 키에 사용하려는 이름입니다(예:CHGWS_KEY_RING).KEY_RING: 키링의 이름입니다(예:CHGWS_KEY).ROTATION_PERIOD: 키를 순환할 빈도입니다(예:7d).NEXT_ROTATION_TIME: 다음 키 순환이 발생하는 날짜와 시간입니다(예:2024-03-20T01:00:00).
엔드포인트 생성 요청
엔드포인트 생성을 요청하려면 엔드포인트 생성 요청을 제출하세요. 다음 정보를 제공합니다.
- Workspace ID:
<var>GOOGLE_WORKSPACE_ID</var> - Google Cloud 프로젝트 ID:
PROJECT_ID - Google Cloud 프로젝트 번호:
PROJECT_NUMBER - Cloud KMS 키링 이름:
KEY_RING - Cloud KMS 키링 위치:
us-central1 - Cloud KMS 키 이름:
KEY_NAME - CHGWS 기본 URL: 선택사항. 키 이전을 사용 설정할 URL 목록입니다. 이 Google Workspace에 대해 CHGWS를 처음 설정하는 경우 이 필드를 비워 둡니다.
엔드포인트를 사용할 수 있게 되면 CHGWS팀에서 24~48시간 이내에 CHGWS 엔드포인트 URL을 응답합니다.
Google Workspace CSE에서 CHGWS 엔드포인트 구성
엔드포인트 CHGWS를 만들 때 생성된 CHGWS URL을 사용하도록 Google Workspace CSE를 구성합니다. 클라이언트 측 암호화에 필요한 키 관리 서비스 추가 및 관리하기의 안내를 따르세요.
엔드포인트 이전
CHGWS는 키 서비스를 CHGWS로 또는 CHGWS에서 이동할 수 있는 유연성을 제공합니다. CHGWS 마이그레이션을 시작하려면 마이그레이션 요청을 제출하세요. 요청에 다음 정보를 포함합니다.
- 엔드포인트 ID: CHGWS의 엔드포인트 ID입니다.
- CHGWS 기본 URL: CHGWS 키 이전을 사용 설정할 URL 목록입니다.
- Google Workspace용 Cloud HSM으로 마이그레이션하는 경우 마이그레이션할 각 CHGWS 엔드포인트의 기본 URL을 제공합니다.
- Google Workspace용 Cloud HSM에서 마이그레이션하는 경우 마이그레이션할 CHGWS 엔드포인트의 기본 URL을 제공합니다.
서로 다른 두 Cloud HSM for Google Workspace 엔드포인트 간에 마이그레이션하는 경우 이전 엔드포인트에서 하나, 새 엔드포인트로 하나 등 두 개의 별도 요청을 제출합니다.
CHGWS팀은 24~48시간 이내에 엔드포인트가 이전 준비가 되었다고 알려줍니다.
엔드포인트 삭제 또는 사용 중지
Google Workspace 엔드포인트용 Cloud HSM의 삭제 또는 사용 중지 작업은 직접 지원되지 않습니다. 하지만 모든 지원 Cloud KMS 키 버전을 사용 중지하면 Google Workspace 엔드포인트의 Cloud HSM을 사용 중지할 수 있습니다.
엔드포인트를 지원하는 각 Cloud KMS 키 버전에 대해 다음 명령어를 실행합니다.
gcloud kms keys versions disable KEY_VERSION --keyring \ KEY_RING --location us-central1 --key KEY_NAME다음을 바꿉니다.
KEY_VERSION: 사용 중지하려는 키의 버전입니다(예:1).KEY_RING: 키링의 이름(예:CHGWS_KEY_RING)KEY_NAME: 키의 이름(예:CHGWS_KEY)
엔드포인트 사용 설정
지원 Cloud KMS 키의 모든 키 버전을 사용 중지하여 CHGWS 엔드포인트를 사용 중지한 경우 CHGWS 엔드포인트를 다시 사용 설정할 수 있습니다. 엔드포인트를 다시 사용 설정하려면 다음 gcloud CLI 명령어를 사용하여 지원 Cloud KMS 키의 모든 활성 버전을 사용 설정하세요.
엔드포인트를 지원하는 각 Cloud KMS 키 버전에 대해 다음 명령어를 실행합니다.
gcloud kms keys versions enable KEY_VERSION \ --keyring KEY_RING --location us-central1 --key KEY_NAME다음을 바꿉니다.
KEY_VERSION: 사용 중지하려는 키의 버전입니다(예:1).KEY_RING: 키링의 이름(예:CHGWS_KEY_RING)KEY_NAME: 키의 이름(예:CHGWS_KEY)
다음 단계
- Cloud Key Management Service 자세히 알아보기
- 클라이언트 측 암호화에 필요한 키 관리 서비스를 추가하고 관리하는 방법을 알아보세요.