T-Systems Sovereign Cloud에서는 모든 데이터를 Cloud 외부 키 관리자(Cloud EKM) 키를 사용하여 암호화해야 합니다. Cloud EKM 키는 외부 키 관리자 (EKM이라고도 함)에 연결된 암호화 키입니다. 고객은 자체 Cloud EKM을 설정하고 사용할 수 있지만 Google Cloud 및 T-Systems Sovereign Cloud에서 프로비저닝한 프로젝트도 제공됩니다. 키 관리 프로젝트라고 하는 이 프로젝트에서는 T-Systems International (TSI)에서 고객을 대신하여 운영하는 외부 키 관리자를 사용하여 키를 만들 수 있습니다.
이 주제에서는 TSI를 기반으로 Cloud KMS를 사용하는 단계를 설명합니다.
개요
T-Systems Sovereign Cloud에서 Cloud EKM을 사용하여 키를 만들고 관리하려면 Issue Tracker라는 티켓 시스템을 사용합니다. 시작 이메일에서 Issue Tracker 도구 링크와 주요 관리자 액세스 그룹 정보를 받게 됩니다. 모든 키 관리자를 액세스 그룹에 추가해야 합니다. 그러면 이러한 관리자는 Issue Tracker 구성요소에 액세스하여 TSI에 티켓을 제출할 수 있으며, TSI는 고객을 대신하여 키 관리 작업을 실행합니다.
모든 TSI 관리 키는 사전 프로비저닝된 키 관리 프로젝트에서 만들어야 합니다. Cloud KMS 키가 있는 프로젝트가 아닌 다른 프로젝트에서 데이터를 호스팅할 수 있습니다. 이 기능은 키 관리자와 데이터 관리자 간의 업무 분리에 관한 권장사항을 지원합니다.
고객별 정보 찾기
키를 만들기 전에 초대 이메일에서 다음 정보를 찾습니다.
- Cloud KMS 프로젝트 번호
- 키 관리자 액세스 그룹
- Issue Tracker 링크
액세스 그룹 구성
키 관리자 액세스 그룹은 조직의 핵심 관리자, 즉 Cloud KMS 관리자 Identity and Access Management (IAM) 역할을 부여받을 관리자를 위한 비공개 Google 그룹입니다. 키 관리자 액세스 그룹은 사용자가 유지 관리합니다.
환영 이메일에서 액세스 그룹을 확인할 수 있습니다. 형식은 다음과 같습니다.
<customer-name>-<KMS-project-number>-key-admin@googlegroups.com
프로젝트에서 Cloud KMS 관리자 역할을 부여할 사용자를 Google 그룹에 추가합니다. 그룹을 관리하는 방법에 관한 자세한 내용은 그룹에 사용자 추가하기를 참고하세요.
Cloud EKM 키 만들기
Cloud EKM 키는 Google Cloud에서 데이터를 암호화하는 데 사용됩니다. TSI의 외부 키 관리자의 키를 사용하려면 먼저 Cloud EKM 키를 만들어야 합니다. 이 TSI 연결 Cloud EKM 키는 TSI의 EKM에서 특정 키를 참조하는 데 사용되며 사전 프로비저닝된 키 관리 프로젝트에서만 만들 수 있습니다.
키링 만들기
Cloud EKM 키를 보관할 키링을 만듭니다. T-Systems Sovereign Cloud의 경우 키링 위치는 항상 europe-west3여야 합니다. KEY_RING_NAME 자리표시자를 원하는 키링 이름으로 바꿉니다.
gcloud
gcloud kms keyrings create KEY_RING_NAME \ --location europe-west3
Cloud EKM 연결 리소스 이름 가져오기
그런 다음 키 관리 프로젝트에서 TSI의 Cloud EKM 연결 리소스 이름을 가져와야 합니다. 이름은 default-ekm-connection입니다.
gcloud
다음 명령어를 실행하고 연결 이름 default-ekm-connection이 포함된 Cloud EKM 연결 리소스 이름을 찾습니다. 형식은 projects/[PROJECT-ID]/locations/europe-west3/ekmConnections/default-ekm-connection입니다.
gcloud kms ekm-connections list \ --location europe-west3
샘플 출력:
NAME: projects/test-project/locations/europe-west3/ekmConnections/default-ekm-connection SERVICE_DIRECTORY_SERVICE: projects/host-project/locations/europe-west3/namespaces/tsi-ekm-000000001/services/tsi-ekm-00000001 HOSTNAME: test_host.example.com
NAME 섹션에서 강조 표시된 텍스트인 전체 리소스 이름을 복사합니다. 이 값은 대칭 키 또는 비대칭 키를 만들 때 --crypto-key-backend 값으로 사용됩니다.
대칭 암호화 키 만들기
대칭 Cloud EKM 키를 만들려면 Google Cloud CLI에서 다음 명령어를 사용합니다.
gcloud
gcloud kms keys create KEY_NAME \ --keyring KEY_RING_NAME \ --location europe-west3 \ --purpose encryption \ --protection-level external-vpc \ --default-algorithm external-symmetric-encryption \ --skip-initial-version-creation \ --crypto-key-backend EKM_CONNECTION
--skip-initial-version-creation 플래그는 키 버전이 생성되지 않도록 하는 데 사용됩니다. TSI Sovereign Cloud에서 Cloud KMS를 사용하는 경우 TSI에서 키 버전을 만듭니다.
키의 용도가 encryption이면 키가 대칭 암호화 키임을 나타냅니다. TSI의 EKM이 VPC 연결을 통한 EKM을 사용하여 Cloud KMS에 연결되어 있으므로 external-vpc 보호 수준을 사용해야 합니다.
EKM_CONNECTION을 위의 Cloud EKM 연결 리소스 이름 가져오기 섹션에서 복사한 EKM 연결 이름으로 바꿉니다(전체 리소스 이름 사용).
위 단계에서는 키링에 빈 대칭 암호화 키를 만듭니다. 키 버전을 만들려면 아래의 마지막 단계 섹션에 나온 안내를 따르세요.
비대칭 서명 키 만들기
비대칭 서명 키를 만드는 방법은 대칭 암호화 키를 만드는 방법과 비슷합니다. 주요 차이점은 키의 용도와 기본 알고리즘입니다.
새 키를 만들 때는 키 버전이 생성되지 않도록 --skip-initial-version-creation를 추가해야 합니다. T-Systems Sovereign Cloud에서 Cloud KMS를 사용하는 경우 TSI에서 키 버전을 만듭니다.
gcloud
gcloud kms keys create KEY_NAME \ --keyring KEY_RING_NAME \ --location europe-west3 \ --purpose asymmetric-signing \ --protection-level external-vpc \ --skip-initial-version-creation \ --default-algorithm ec-sign-p256-sha256 \ --crypto-key-backend EKM_CONNECTION
키의 용도를 asymmetric-signing로 설정하여 키가 비대칭 서명 키임을 지정합니다. TSI의 EKM은 VPC 연결을 통한 EKM을 사용하여 Cloud KMS에 연결되므로 external-vpc 보호 수준을 사용해야 합니다.
EKM_CONNECTION을 위의 Cloud EKM 연결 리소스 이름 가져오기 섹션에서 복사한 EKM 연결 이름으로 바꿉니다(전체 리소스 이름 사용).
위 단계에 따라 키링에 비어 있는 비대칭 암호화 키가 생성됩니다. 키 버전을 만들려면 아래의 마지막 단계 섹션에 나온 안내를 따르세요.
최종 단계
Google Cloud에서 Cloud EKM 키를 만든 후에는 Issue Tracker 요청 양식을 사용하여 TSI에 티켓을 제출하는 것이 마지막 단계입니다. 이렇게 하면 첫 번째 키 버전이 생성됩니다. 요청은 TSI로 전달되어 TSI 측에서 키 프로비저닝을 완료합니다.
키 버전 생성 또는 순환과 같은 기타 키 관리 작업에 관한 자세한 워크스루는 TSI 관리 키 작업을 참고하세요.