사용자에게 클라이언트 측 암호화 할당하기

Google Workspace 클라이언트 측 암호화 (CSE)에 필요한 외부 키 관리 서비스를 관리 콘솔에 하나 이상 추가한 후 조직 단위 또는 구성 적용 그룹에 할당해야 합니다. 키 관리 서비스를 할당하면 외부 서비스의 키 액세스 제어 목록에 추가된 사용자가 콘텐츠를 암호화 및 복호화할 수 있습니다.

Gmail CSE에 하드웨어 키 암호화를 설정한 경우 조직 단위 또는 구성 적용 그룹에 이를 할당해야 합니다. Assured Controls 또는 Assured Controls Plus 부가기능이 필요합니다.

콘텐츠를 암호화해야 하는 사용자의 경우 CSE도 사용 설정해야 합니다. 자세한 내용은 클라이언트 측 암호화 사용 또는 사용 중지하기를 참고하세요.

시작하기 전에

다음 단계를 완료했는지 확인하세요.

기본 키 관리 서비스를 할당했는지 확인하기

CSE 서비스가 조직 전체에서 제대로 작동하도록 하려면 외부 키 관리 서비스를 전체 조직의 기본 서비스로 설정해야 합니다. 예를 들어 그룹에 CSE가 사용 설정되어 있지만 해당 그룹이 공유 드라이브를 사용하고 있는 조직 단위에는 CSE가 사용 중지된 경우 기본 키 관리 서비스가 사용됩니다.
관리 콘솔에 첫 번째 키 관리 서비스를 추가하면 최상위 조직 단위에 기본 서비스를 할당하라는 메시지가 표시됩니다. 아직 기본값을 할당하지 않은 경우 사용자에 대해 CSE를 사용 설정하기 전에 기본값을 할당해야 합니다. 자세한 내용은 이 페이지 뒷부분의 조직에 기본 키 관리 서비스 할당하기를 참고하세요.

사용자별로 여러 개의 키 관리 서비스를 사용하려는 경우

조직 단위 또는 그룹에 기본 서비스와 다른 키 관리 서비스를 할당할 수 있습니다. 예를 들어 조직의 여러 위치에 서로 다른 키 관리 서비스를 사용할 수 있습니다.
현재 키 관리 서비스로 콘텐츠가 이미 암호화되었다면 암호화된 콘텐츠를 새 서비스로 이전하는 것이 좋습니다. 이 페이지 뒷부분의 새 키 관리 서비스로 전환하려는 경우를 참고하세요.

새 키 관리 서비스로 전환하려는 경우

이전에 조직 단위 또는 그룹에 키 관리 서비스를 할당한 경우 다른 서비스로 전환할 수 있습니다. 현재 키 관리 서비스에서 이미 콘텐츠를 암호화한 경우 새 서비스로 콘텐츠를 이전하는 것이 좋습니다. 자세한 내용은 이 페이지 뒷부분의 암호화된 콘텐츠를 새 키 관리 서비스로 이전하기를 참고하세요.
새 키 관리 서비스로 전환했지만 콘텐츠를 이전하지 않은 경우: 기존의 암호화된 콘텐츠는 추가한 새 서비스가 아닌 현재 서비스로만 암호화된 상태로 유지됩니다. 즉, 이전에 암호화된 콘텐츠에 계속 액세스할 수 있으려면 현재 서비스를 계속 사용해야 합니다.

키 관리 서비스로 암호화 할당하기

조직에 기본 키 관리 서비스 할당하기

이 작업을 수행하려면 최고 관리자로 로그인해야 합니다.

  1. Google 관리 콘솔에서 메뉴 다음 데이터다음규정 준수다음클라이언트 측 암호화로 이동합니다.

    이 작업을 수행하려면 최고 관리자로 로그인해야 합니다.

  2. 외부 키 관리 서비스를 통한 암호화에서 할당을 클릭합니다.
  3. 왼쪽 패널에서 이 계정의 모든 사용자 또는 최상위 조직 단위를 선택합니다.
  4. 키 관리 서비스를 클릭하고 드롭다운 목록에서 키 관리 서비스를 선택합니다.
  5. 저장을 클릭합니다.

특정 사용자에게 다른 키 관리 서비스 할당하기

관리 콘솔에 여러 개의 키 관리 서비스를 추가한 경우 현재 조직 단위 또는 그룹에 할당된 서비스와 다른 키 관리 서비스를 선택할 수 있습니다.

중요: 콘텐츠가 현재 키 관리 서비스로 이미 암호화되었다면 기존 클라이언트 측에서 암호화된 콘텐츠에 계속 액세스할 수 있도록 암호화된 콘텐츠를 새 서비스로 이전하는 것이 가장 좋습니다. 자세한 내용은 이 페이지 뒷부분의 암호화된 콘텐츠를 새 키 관리 서비스로 이전하기를 참고하세요.

이 작업을 수행하려면 최고 관리자로 로그인해야 합니다.

  1. Google 관리 콘솔에서 메뉴 다음 데이터다음규정 준수다음클라이언트 측 암호화로 이동합니다.

    이 작업을 수행하려면 최고 관리자로 로그인해야 합니다.

  2. 외부 키 관리 서비스를 통한 암호화에서 할당을 클릭합니다.
  3. 왼쪽 패널에서 다른 키 관리 서비스를 사용할 조직 단위 또는 그룹을 선택합니다.
  4. 키 관리 서비스를 클릭하고 드롭다운 목록에서 새 키 관리 서비스를 선택합니다.
  5. 상위 조직 단위의 CSE 설정이 변경되더라도 설정이 그대로 유지되도록 재정의를 클릭합니다.
  6. 조직 단위가 이미 재정의로 설정되어 있다면 다음 옵션 중 하나를 선택합니다.
    • 상속: 상위 조직과 동일한 CSE 설정으로 되돌아갑니다.
    • 저장: 상위 조직 설정이 변경되더라도 새 CSE 설정을 저장합니다.
변경사항이 적용되는 데 최대 24시간이 소요될 수 있지만 일반적으로 더 빨리 적용됩니다. 자세히 알아보기

암호화된 콘텐츠를 새 키 관리 서비스로 이전하기

기존 키 관리 서비스를 사용하여 더 이상 조직 단위 또는 그룹의 콘텐츠를 암호화하지 않으려면 새 서비스를 추가하고 백업 서비스를 선택한 후 암호화된 콘텐츠를 새 서비스로 이전하면 됩니다.

마이그레이션을 시작하기 전에

지원되는 서비스

현재 다음 서비스의 암호화된 콘텐츠를 이전할 수 있습니다.

  • Google Drive 및 Docs
  • Google Calendar

Gmail CSE의 다른 키 관리 서비스로 전환: 각 사용자에 대해 Gmail API를 사용하여 새 키 관리 서비스로 래핑된 키가 포함된 새 S/MIME 인증서를 업로드해야 합니다. 자세한 내용은 Gmail만 해당: 클라이언트 측 암호화에 S/MIME 인증서 구성하기를 참고하세요.

Google에서는 콘텐츠를 복호화하지 않음

이전하는 동안 Google에서는 콘텐츠를 복호화하지 않습니다. 새 서비스에서 이전 서비스의 암호화 레이어를 해제하고 새 암호화 레이어로 변경합니다.

사용자에게 영향을 미치지 않음

이전하는 동안 사용자는 중단 없이 계속 암호화하고 암호화된 콘텐츠를 확인할 수 있습니다.

이전 상태를 확인할 수 없음

진행 상태 및 문제 관련 알림은 사용할 수 없습니다.

먼저 소규모 사용자를 대상으로 이전 테스트

모든 사용자 콘텐츠에 대해 전체 이전을 실행하기 전에 먼저 소규모의 사용자를 대상으로 이전을 시도하는 것이 좋습니다. 하나의 조직 단위 또는 그룹에만 새 키를 할당하고 해당 사용자의 이전을 사용 설정하여 이전 문제가 있는지 확인합니다.

테스트 이전 후 새 키 관리 서비스로 새 콘텐츠를 암호화하고 이전에 암호화된 콘텐츠에 계속 액세스하고 수정할 수 있는지 확인하세요.

이전 시간 단축

현재 키 관리 서비스로 암호화되는 새 항목의 수를 최소화하려면 사용량이 많지 않은 시간에 전체 이전을 시작하세요.

1단계: 관리 콘솔에 새 키 관리 서비스 추가하기

  • 현재 하나의 암호화 키 관리 서비스만 사용 중인 경우: 새 키 관리 서비스를 추가하고 현재 서비스를 백업으로 선택합니다. 자세한 내용은 외부 키 관리 서비스 추가하기를 참고하세요.
  • 현재 사용 중인 키 관리 서비스에 이미 백업 서비스가 있는 경우: 키 관리 서비스에서 백업을 삭제합니다. 자세한 내용은 키 관리 서비스에서 백업 삭제하기를 참고하세요. 그런 다음 새 키 관리 서비스를 추가하고 현재 서비스를 백업으로 선택합니다.

    중요: 현재 삭제해야 하는 백업에서 콘텐츠를 이전 중인 경우 이전이 완료될 때까지 기다리세요. 백업을 삭제하면 모든 이전이 즉시 중지됩니다. 자세한 내용은 이 페이지 뒷부분의 4단계: 이전이 완료되었는지 확인하기를 참고하세요.

2단계: 현재 키 관리 서비스를 새 키 관리 서비스로 변경하기

새 키 관리 서비스를 추가한 후 조직 단위 또는 그룹에 새 키 관리 서비스를 할당합니다. 자세한 내용은 위의 클라이언트 측 암호화에 필요한 키 관리 서비스 할당하기를 참고하세요.

3단계: 이전 사용 설정하기

조직 단위 또는 그룹의 새 키 관리 서비스를 선택한 후, 다른 서비스에 이전 가능한 기존의 암호화된 콘텐츠가 있는 경우 이전을 사용 설정할 수 있습니다.

이전 소요 시간은 현재 키 관리 서비스로 암호화되는 콘텐츠의 양과 새 키 관리 서비스의 처리 속도에 따라 다릅니다. 콘텐츠 이전이 진행되는 데는 몇 시간에서 며칠까지 걸릴 수 있습니다.

이 작업을 수행하려면 최고 관리자로 로그인해야 합니다.

  1. Google 관리 콘솔에서 메뉴 다음 데이터다음규정 준수다음클라이언트 측 암호화로 이동합니다.

    이 작업을 수행하려면 최고 관리자로 로그인해야 합니다.

  2. 외부 키 관리 서비스를 통한 암호화에서 할당을 클릭합니다.
  3. 왼쪽 패널에서 콘텐츠를 새로운 키 관리 서비스로 이전할 조직 단위 또는 그룹을 선택합니다.
  4. 이전에서 사용을 클릭합니다.

    참고: 이 옵션은 이미 암호화된 콘텐츠를 포함하는 서비스가 이전에 표시되는 경우에만 사용할 수 있습니다.

  5. 확인 메시지에서 체크박스를 선택하여 이전이 시작되면 되돌릴 수 없다는 것을 이해했음을 확인합니다. 저장을 클릭합니다.

이전 프로세스가 시작됩니다.

4단계: 이전이 완료되었는지 확인하기

이 작업을 수행하려면 최고 관리자로 로그인해야 합니다.

  1. Google 관리 콘솔에서 메뉴 다음 데이터다음규정 준수다음클라이언트 측 암호화로 이동합니다.

    이 작업을 수행하려면 최고 관리자로 로그인해야 합니다.

  2. 외부 키 관리 서비스를 통한 암호화에서 할당을 클릭합니다.
  3. 왼쪽 패널에서 암호화된 콘텐츠를 새 키 관리 서비스로 이전하려는 조직 단위 또는 그룹을 선택합니다.
  4. 이전에서 기존 서비스 (현재 백업 서비스)로 암호화된 항목 수를 확인합니다.

    암호화된 항목이 없으면 이전이 완료됩니다.

5단계: (선택사항) 백업 키 관리 서비스 삭제하기

콘텐츠 이전이 완료되어 더 이상 백업 서비스를 사용하지 않으려는 경우 새 키 관리 서비스에서 해당 서비스를 삭제할 수 있습니다. 자세한 내용은 키 관리 서비스에서 백업 삭제하기를 참고하세요.

하드웨어 키를 사용하는 암호화 할당하기 (Gmail만 해당)

조직의 모든 또는 일부 사용자에 대해 하드웨어 키 암호화를 설정하여 Gmail을 암호화하는 경우 해당 사용자에게 하드웨어 키 암호화를 할당해야 합니다.

Gmail에 암호화 키 관리 서비스도 사용 중인 경우: 키 관리 서비스와 동일한 사용자에게 하드웨어 키 암호화를 할당할 수 있습니다. 하지만 이러한 사용자는 관리자가 Gmail의 암호화 키를 설정한 방법에 따라 키 관리 서비스 또는 하드웨어 키 중 하나를 사용하여 Gmail을 암호화합니다. 자세한 내용은 Gmail만 해당: 클라이언트 측 암호화에 S/MIME 인증서 구성하기를 참고하세요.

이 작업을 수행하려면 최고 관리자로 로그인해야 합니다.

  1. Google 관리 콘솔에서 메뉴 다음 데이터다음규정 준수다음클라이언트 측 암호화로 이동합니다.

    이 작업을 수행하려면 최고 관리자로 로그인해야 합니다.

  2. 하드웨어 키를 사용한 암호화에서 할당을 클릭합니다.
  3. 왼쪽 패널에서 다른 키 관리 서비스를 사용할 조직 단위 또는 그룹을 선택합니다.
  4. 하드웨어 키 암호화를 클릭하고 체크박스를 선택합니다.
  5. 하위 조직 단위를 선택한 경우 상위 조직 단위의 CSE 설정이 변경되더라도 설정이 그대로 유지되도록 재정의를 클릭합니다.
  6. 조직 단위가 이미 재정의로 설정되어 있다면 다음 옵션 중 하나를 선택합니다.
    • 상속: 상위 조직과 동일한 CSE 설정으로 되돌아갑니다.
    • 저장: 상위 조직 설정이 변경되더라도 새 CSE 설정을 저장합니다.
변경사항이 적용되는 데 최대 24시간이 소요될 수 있지만 일반적으로 더 빨리 적용됩니다. 자세히 알아보기