고객 관리 암호화 키 정책 관리

이 페이지에서는 고객 관리 암호화 키 (CMEK)를 사용하여 Google Cloud NetApp Volumes를 관리하는 방법을 설명합니다.

CMEK 정보

NetApp Volumes는 항상 볼륨별 키로 데이터를 암호화합니다. NetApp Volumes는 항상 저장 데이터를 암호화합니다.

CMEK를 사용하면 Cloud Key Management Service에서 저장된 볼륨 키를 래핑합니다. 이 기능을 사용하면 사용하는 암호화 키를 더 효과적으로 제어할 수 있으며, 데이터와 다른 시스템이나 위치에 키를 저장하여 보안을 강화할 수 있습니다. NetApp Volumes는 하드웨어 보안 모듈과 같은 Cloud Key Management Service 기능과 생성, 사용, 순환, 폐기의 전체 키 관리 수명 주기를 지원합니다.

NetApp Volumes는 리전당 하나의 CMEK 정책을 지원합니다. CMEK 정책은 스토리지 풀에 연결되며 해당 풀에 생성된 모든 볼륨이 이를 사용합니다. 리전에서 CMEK 정책이 있는 스토리지 풀과 없는 스토리지 풀을 혼합할 수 있습니다. 특정 리전에 CMEK가 없는 풀이 있는 경우 리전의 CMEK 정책의 마이그레이션 작업을 사용하여 CMEK로 변환할 수 있습니다.

CMEK 사용은 선택사항입니다. 사용되는 경우 CMEK 정책은 리전별로 적용됩니다. 리전당 하나의 정책만 구성할 수 있습니다.

고려사항

다음 섹션에는 고려해야 할 CMEK 제한사항이 포함되어 있습니다.

키 관리

CMEK를 사용하면 키와 데이터에 대한 책임은 전적으로 사용자에게 있습니다.

Cloud KMS 구성

CMEK는 암호화 및 복호화에 대칭 키를 사용합니다. 프로젝트의 리전에서 모든 볼륨이 삭제되면 Cloud KMS 구성이 Ready 생성 상태로 돌아갑니다. 해당 리전에서 다음 볼륨을 만들 때 다시 사용됩니다.

리전 키링

NetApp Volumes는 리전별 KMS 키링만 지원하며 CMEK 정책과 동일한 리전에 있어야 합니다.

서비스 수준

CMEK는 Flex, Standard, Premium, Extreme 서비스 수준 스토리지 풀을 지원합니다.

VPC 서비스 제어

VPC 서비스 제어를 사용할 때는 NetApp Volumes의 VPC 서비스 제어 제한사항을 고려해야 합니다.

CMEK 조직 정책

NetApp Volumes의 CMEK 조직 정책을 사용하면 조직에서 데이터 암호화 키를 제어하고 CMEK에 사용할 수 있는 키를 제한할 수 있습니다. 이는 새 스토리지 풀에서 저장 데이터 암호화에 CMEK 사용을 강제하고 조직에서 Cloud KMS를 사용하여 암호화 키를 관리하도록 허용함으로써 달성됩니다. 조직 정책은 스토리지 풀 생성 시 적용되며 기존 스토리지 풀에는 영향을 미치지 않습니다.

조직 정책을 사용하면 관리자가 모든 프로젝트와 리소스에 일관된 제약 조건을 적용하고 시행할 수 있습니다. 이는 여러 프로젝트와 리소스를 관리하는 조직이 표준화된 정책을 적용하는 데 중요합니다.

CMEK에 적용할 수 있는 조직 정책 제약 조건에는 두 가지 유형이 있습니다.

• CMEK가 아닌 서비스 제한: 조직, 프로젝트 또는 폴더 내에서 CMEK 없이 구성할 수 있는 서비스를 지정할 수 있습니다. 거부 목록에 서비스를 추가하거나 허용 목록에서 서비스를 제외하면 해당 서비스의 리소스에 CMEK가 필요합니다. 기본적으로 이 제약 조건은 CMEK가 아닌 리소스의 생성을 허용합니다.

• CMEK CryptoKey 프로젝트 제한: 조직, 프로젝트 또는 폴더 내에서 리소스를 구성할 때 CMEK에 KMS 키를 제공할 수 있는 프로젝트를 정의할 수 있습니다. 이 제약조건이 설정되면 지정된 프로젝트의 KMS 키만 CMEK 보호 리소스에 사용할 수 있습니다. 제약 조건이 설정되지 않은 경우 모든 프로젝트의 CryptoKey를 사용할 수 있습니다.

조직 정책을 적용하는 방법에 대한 자세한 내용은 CMEK 조직 정책 적용을 참고하세요.

CMEK 옵션

NetApp Volumes는 CMEK를 지원하며, CMEK는 소프트웨어 키, HSM 클러스터 내의 하드웨어 키 또는 Cloud 외부 키 관리자 (Cloud EKM)에 저장된 외부 키로 저장할 수 있습니다.

자세한 내용은 Cloud Key Management Service를 참조하세요.

키 오류의 운영상 영향

CMEK 정책에 사용된 Cloud KMS 키가 사용 중지되거나 외부 키에 대한 액세스 권한이 손실되면 NetApp Volumes 리소스 및 작업이 영향을 받을 수 있습니다.

외부 키는 서드 파티에서 관리하며 Google Cloud 키 가용성에 대한 책임이 없습니다.

외부 키 관리자 (EKM)에서 Cloud Key Management Service에 외부 키에 연결할 수 없다고 알리면 해당 키를 사용하는 볼륨이 오프라인 상태가 되어 읽기 및 쓰기 작업이 방지됩니다. Cloud KMS 키가 사용 중지된 경우에도 동일한 결과가 발생합니다.

또한 EKM에 연결할 수 없거나 복제를 위해 소스 또는 대상 리전에서 Cloud KMS 키가 사용 중지된 동안 다음 작업 중 하나를 시도하면 키의 현재 상태에 관한 세부정보가 포함된 오류가 사용자에게 표시됩니다.

• 스토리지 풀 만들기

• 볼륨 만들기

• 스냅샷 만들기

• 백업 만들기

• 볼륨 마운트

• 볼륨 복제 만들기

• 스냅샷 삭제

• 복제 재개

• 복제 반대로 바꾸고 재개하기

다음 단계

CMEK 정책을 만듭니다.