보호 수준

이 페이지에서는 Cloud KMS에서 지원되는 다양한 보호 수준을 비교합니다.

소프트웨어
SOFTWARE 보호 수준의 Cloud KMS 키는 소프트웨어에서 수행되는 암호화 작업에 사용됩니다. Cloud KMS 키는 Google에서 생성하거나 가져올 수 있습니다.
인터넷을 통한 외부
EXTERNAL 보호 수준의 Cloud EKM 키는 외부 키 관리(EKM) 시스템에서 생성되고 저장됩니다. Cloud EKM은 인터넷을 통해 키에 액세스하는 데 사용되는 추가 암호화 자료와 고유 키 경로를 저장합니다.
VPC를 통한 외부
EXTERNAL_VPC 보호 수준의 Cloud EKM 키는 외부 키 관리(EKM) 시스템에서 생성되고 저장됩니다. Cloud EKM은 Virtual Private Cloud(VPC) 네트워크를 통해 키에 액세스하는 데 사용되는 추가 암호화 자료와 고유 키 경로를 저장합니다.

이러한 모든 보호 수준이 적용되는 키는 다음 기능을 공유합니다.

  • 고객 관리 암호화 키 (CMEK) 통합Google Cloud 서비스에 키를 사용합니다.

  • 키의 보호 수준에 따라 특수 코드 없이 Cloud KMS API 또는 클라이언트 라이브러리를 통해 키를 사용합니다.

  • Identity and Access Management(IAM) 역할을 사용하여 키에 대한 액세스를 제어합니다.

  • Cloud KMS에서 각 키 버전을 사용 설정할지 아니면 중지할지 여부를 제어합니다.

  • 주요 작업은 감사 로그에 캡처됩니다. 데이터 액세스 로깅을 사용 설정할 수 있습니다.

소프트웨어 보호 수준

Cloud KMS는 소프트웨어 키의 모든 암호화 작업에 BoringCrypto 모듈(BCM)을 사용합니다. BCM은 FIPS 140-2 검증을 받았습니다. Cloud KMS 소프트웨어 키는 FIPS 140-2 Level 1 인증을 받은 BCM의 암호화 기본 요소를 사용합니다.

소프트웨어 키는 더 높은 FIPS 140-2 검증 수준에 관한 구체적인 규제 요구사항이 없는 사용 사례에 적합합니다.

외부 보호 수준

Cloud 외부 키 관리자 (Cloud EKM) 키는 지원되는 외부 키 관리 (EKM) 파트너 서비스에서 관리하고Google Cloud 서비스, Cloud KMS API, 클라이언트 라이브러리에서 사용하는 키입니다. Cloud EKM 키는 EKM 제공업체에 따라 소프트웨어 지원 키 또는 하드웨어 지원 키일 수 있습니다. CMEK 통합 서비스나 Cloud KMS API 및 클라이언트 라이브러리를 통해 Cloud EKM 키를 사용할 수 있습니다.

Cloud EKM 키를 사용하면 Google Cloud 에서 키 자료에 액세스할 수 없도록 차단할 수 있습니다.

Cloud EKM 키를 지원하는 CMEK 통합 서비스를 확인하려면 CMEK 통합을 참조하고 EKM 호환 서비스만 표시 필터를 적용하세요.

인터넷을 통한 외부 보호 수준

nam-eur-asia1global을 제외하고 Cloud KMS에서 지원하는 모든 위치에서 인터넷을 통해 Cloud EKM 키를 사용할 수 있습니다.

VPC를 통한 외부 보호 수준

VPC 네트워크를 통해 Cloud EKM 키를 사용하면 외부 키의 가용성을 개선할 수 있습니다. 이렇게 가용성을 높이면 Cloud EKM 키와 이 키로 보호되는 리소스를 사용할 수 없게 될 가능성이 줄어듭니다.

Cloud KMS에서 지원하는 대부분의 리전 위치에서 VPC 네트워크를 통해 Cloud EKM 키를 사용할 수 있습니다. 멀티 리전 위치에서는 VPC 네트워크를 통한 Cloud EKM을 사용할 수 없습니다.

다음 단계