관리자암호화 키

CMEK를 위한 Google Cloud KMS 구성

Google Cloud KMS를 사용하여 조직의 암호화 키를 제공합니다.

Configure with the /claude-api skill in Claude Code

claude "/claude-api help me configure a customer-managed encryption key with Google Cloud KMS"

이 가이드는 Anthropic 조직을 위한 customer-managed encryption key(고객 관리 암호화 키), 즉 CMEK로 Google Cloud KMS 키를 구성하는 과정을 안내합니다.

CMEK 활성화는 영구적입니다. KMS 키가 삭제되거나 비활성화되면 Anthropic은 해당 키로 암호화된 데이터를 복구할 수 없습니다. 시작하기 전에 경고 및 제한 사항을 검토하세요.

사전 요구 사항

결제가 활성화된 Google Cloud 프로젝트.
Cloud KMS API 활성화(cloudkms.googleapis.com).
KMS 키 링 및 키를 생성하고 해당 항목에 IAM 정책을 설정할 수 있는 권한(roles/cloudkms.admin 또는 이에 상응하는 권한).
조직의 Anthropic Admin API 키.
gcloud CLI가 설치되고 인증된 상태.
프로젝트에 대해 Cloud KMS 데이터 액세스 감사 로그가 활성화된 상태(IAM & Admin > Audit Logs > Cloud Key Management Service에서 DATA_READ 및 DATA_WRITE 선택). 이 설정은 기본적으로 꺼져 있으며, 활성화하지 않으면 Anthropic의 암호화 및 복호화 작업이 Cloud Logging에 항목을 생성하지 않습니다.

Anthropic 서비스 계정 이메일

Anthropic이 암호화 키를 사용하도록 하려면 Anthropic의 서비스 계정에 데이터 암호화에 사용할 수 있는 키를 부여해야 합니다. Anthropic CMEK의 서비스 계정 이메일은 다음과 같습니다.

anthropic-cmek-client-us@gcp-anthropic-cmek-clients.iam.gserviceaccount.com

게시된 이 서비스 계정 이메일만 사용하세요. 이메일, 채팅 또는 온보딩 채널을 통해 제공된 식별자는 절대 신뢰하지 마세요.

도메인 제한 공유: 프로젝트가 constraints/iam.allowedPolicyMemberDomains를 적용하는 Google Cloud 조직에 속해 있는 경우, Anthropic 서비스 계정이 조직 외부에 있으므로 아래의 IAM 바인딩이 거부됩니다. 해당 제약 조건에 대한 프로젝트 수준의 예외를 설정하거나, Anthropic의 Cloud Identity 고객 ID(형식: C0xxxxxxxx)를 허용 목록에 추가해야 합니다. 고객 ID가 필요한 경우 Anthropic에 문의하세요.

암호화 키 설정

키 링 생성 또는 선택
재사용할 키 링이 이미 있는 경우 이 단계를 건너뛰세요. 키 링은 리전별로 구분됩니다. 구성 중인 Anthropic 지리적 위치와 일치하는 us-east5와 같은 단일 리전 미국 위치를 선택하세요. us 및 global과 같은 멀티 리전 위치는 지원되지 않습니다.
gcloud kms keyrings create <your-keyring-name> \ --project=<your-project-id> \ --location=<region>
암호화 키 생성
ENCRYPT_DECRYPT 용도의 대칭 키를 생성하세요. HSM 보호를 강력히 권장합니다. Cloud KMS HSM 키는 FIPS 140-2 Level 3 검증을 받았으며, 소프트웨어 키 대비 비용 차이가 크지 않습니다.
gcloud kms keys create <your-key-name> \ --project=<your-project-id> \ --location=<region> \ --keyring=<your-keyring-name> \ --purpose=encryption \ --protection-level=hsm
소프트웨어 보호를 사용하려면 --protection-level=hsm을 생략하세요. 이 가이드의 다른 내용은 변경되지 않습니다.
Google Cloud Console에서도 키를 생성할 수 있습니다. 키 링을 열고 Create key를 클릭한 다음 Generated key를 선택하고, 용도와 알고리즘을 대칭 암호화 및 복호화로 설정한 후 보호 수준에서 HSM을 선택하세요.
HSM으로 보호되는 대칭 암호화/복호화 키를 생성합니다.
Anthropic 서비스 계정에 키 액세스 권한 부여
두 개의 키 수준 IAM 바인딩이 필요합니다. 두 바인딩 모두 프로젝트 전체나 키 링 전체가 아닌 단일 암호화 키로 범위가 제한됩니다.
암호화 및 복호화 권한은 Anthropic이 워크스페이스 데이터를 보호하는 데이터 키를 암호화하고 복호화하는 데 사용합니다(봉투 암호화).
gcloud kms keys add-iam-policy-binding <your-key-name> \ --project=<your-project-id> \ --location=<region> \ --keyring=<your-keyring-name> \ --member="serviceAccount:anthropic-cmek-client-us@gcp-anthropic-cmek-clients.iam.gserviceaccount.com" \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
전체 키 리소스 이름 확인
키를 등록할 때 이 값을 Anthropic에 전달합니다. 형식은 다음과 같습니다.
```
projects/<your-project-id>/locations/<region>/keyRings/<your-keyring-name>/cryptoKeys/<your-key-name>
```
다음 명령으로 조회하세요.
gcloud kms keys describe <your-key-name> \ --project=<your-project-id> \ --location=<region> \ --keyring=<your-keyring-name> \ --format="value(name)"
Console에서는 키의 세부 정보 페이지를 열고 Copy resource name을 클릭하세요.
작업 메뉴에서 키의 전체 리소스 이름을 복사합니다.

Anthropic에 키 등록

이전 단계의 리소스 이름을 사용하여 Admin API를 통해 외부 키 구성을 생성하세요.

curl -sS https://api.anthropic.com/v1/organizations/external_keys \
  -H "x-api-key: <anthropic-admin-api-key>" \
  -H "anthropic-version: 2023-06-01" \
  -H "content-type: application/json" \
  -d '{
    "display_name": "<friendly-name>",
    "geo": "us",
    "provider_config": {
      "type": "gcp",
      "key_name": "projects/<your-project-id>/locations/<region>/keyRings/<your-keyring-name>/cryptoKeys/<your-key-name>"
    }
  }'

응답에는 외부 키 ID가 포함됩니다.

{
  "type": "external_key",
  "id": "ekey_<id>",
  "display_name": "<friendly-name>"
}

키 검증

키에 대해 암호화 및 복호화 왕복 테스트를 트리거하세요.

curl -sS -X POST https://api.anthropic.com/v1/organizations/external_keys/ekey_<id>/validate \
  -H "x-api-key: <anthropic-admin-api-key>" \
  -H "anthropic-version: 2023-06-01" \
  -H "content-type: application/json" -d '{}'

성공적인 응답은 다음과 같습니다.

{ "type": "external_key_validation", "status": "success", "error": null }

워크스페이스에 키 연결

curl -sS -X POST https://api.anthropic.com/v1/organizations/workspaces/<workspace-id> \
  -H "x-api-key: <anthropic-admin-api-key>" \
  -H "anthropic-version: 2023-06-01" \
  -H "content-type: application/json" \
  -d '{
    "external_key_id": "ekey_<id>"
  }'

Terraform

Infrastructure-as-code 배포의 경우, 동일한 단계가 google 프로바이더의 google_kms_key_ring, google_kms_crypto_key, google_kms_crypto_key_iam_member 리소스에 매핑됩니다.

Was this page helpful?

사전 요구 사항

결제가 활성화된 Google Cloud 프로젝트.

Cloud KMS API 활성화(cloudkms.googleapis.com).

KMS 키 링 및 키를 생성하고 해당 항목에 IAM 정책을 설정할 수 있는 권한(roles/cloudkms.admin 또는 이에 상응하는 권한).

조직의 Anthropic Admin API 키.

gcloud CLI가 설치되고 인증된 상태.

프로젝트에 대해 Cloud KMS 데이터 액세스 감사 로그가 활성화된 상태(IAM & Admin > Audit Logs > Cloud Key Management Service에서 DATA_READ 및 DATA_WRITE 선택). 이 설정은 기본적으로 꺼져 있으며, 활성화하지 않으면 Anthropic의 암호화 및 복호화 작업이 Cloud Logging에 항목을 생성하지 않습니다.

Anthropic 서비스 계정 이메일

anthropic-cmek-client-us@gcp-anthropic-cmek-clients.iam.gserviceaccount.com

게시된 이 서비스 계정 이메일만 사용하세요. 이메일, 채팅 또는 온보딩 채널을 통해 제공된 식별자는 절대 신뢰하지 마세요.

암호화 키 설정

키 링 생성 또는 선택
재사용할 키 링이 이미 있는 경우 이 단계를 건너뛰세요. 키 링은 리전별로 구분됩니다. 구성 중인 Anthropic 지리적 위치와 일치하는 us-east5와 같은 단일 리전 미국 위치를 선택하세요. us 및 global과 같은 멀티 리전 위치는 지원되지 않습니다.
gcloud kms keyrings create <your-keyring-name> \ --project=<your-project-id> \ --location=<region>
암호화 키 생성
ENCRYPT_DECRYPT 용도의 대칭 키를 생성하세요. HSM 보호를 강력히 권장합니다. Cloud KMS HSM 키는 FIPS 140-2 Level 3 검증을 받았으며, 소프트웨어 키 대비 비용 차이가 크지 않습니다.
gcloud kms keys create <your-key-name> \ --project=<your-project-id> \ --location=<region> \ --keyring=<your-keyring-name> \ --purpose=encryption \ --protection-level=hsm
소프트웨어 보호를 사용하려면 --protection-level=hsm을 생략하세요. 이 가이드의 다른 내용은 변경되지 않습니다.
Google Cloud Console에서도 키를 생성할 수 있습니다. 키 링을 열고 Create key를 클릭한 다음 Generated key를 선택하고, 용도와 알고리즘을 대칭 암호화 및 복호화로 설정한 후 보호 수준에서 HSM을 선택하세요.
HSM으로 보호되는 대칭 암호화/복호화 키를 생성합니다.
Anthropic 서비스 계정에 키 액세스 권한 부여
두 개의 키 수준 IAM 바인딩이 필요합니다. 두 바인딩 모두 프로젝트 전체나 키 링 전체가 아닌 단일 암호화 키로 범위가 제한됩니다.
암호화 및 복호화 권한은 Anthropic이 워크스페이스 데이터를 보호하는 데이터 키를 암호화하고 복호화하는 데 사용합니다(봉투 암호화).
gcloud kms keys add-iam-policy-binding <your-key-name> \ --project=<your-project-id> \ --location=<region> \ --keyring=<your-keyring-name> \ --member="serviceAccount:anthropic-cmek-client-us@gcp-anthropic-cmek-clients.iam.gserviceaccount.com" \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
전체 키 리소스 이름 확인
키를 등록할 때 이 값을 Anthropic에 전달합니다. 형식은 다음과 같습니다.
```
projects/<your-project-id>/locations/<region>/keyRings/<your-keyring-name>/cryptoKeys/<your-key-name>
```
다음 명령으로 조회하세요.
gcloud kms keys describe <your-key-name> \ --project=<your-project-id> \ --location=<region> \ --keyring=<your-keyring-name> \ --format="value(name)"
Console에서는 키의 세부 정보 페이지를 열고 Copy resource name을 클릭하세요.
작업 메뉴에서 키의 전체 리소스 이름을 복사합니다.

Anthropic에 키 등록

이전 단계의 리소스 이름을 사용하여 Admin API를 통해 외부 키 구성을 생성하세요.

curl -sS https://api.anthropic.com/v1/organizations/external_keys \
  -H "x-api-key: <anthropic-admin-api-key>" \
  -H "anthropic-version: 2023-06-01" \
  -H "content-type: application/json" \
  -d '{
    "display_name": "<friendly-name>",
    "geo": "us",
    "provider_config": {
      "type": "gcp",
      "key_name": "projects/<your-project-id>/locations/<region>/keyRings/<your-keyring-name>/cryptoKeys/<your-key-name>"
    }
  }'

응답에는 외부 키 ID가 포함됩니다.

{
  "type": "external_key",
  "id": "ekey_<id>",
  "display_name": "<friendly-name>"
}

키 검증

키에 대해 암호화 및 복호화 왕복 테스트를 트리거하세요.

curl -sS -X POST https://api.anthropic.com/v1/organizations/external_keys/ekey_<id>/validate \
  -H "x-api-key: <anthropic-admin-api-key>" \
  -H "anthropic-version: 2023-06-01" \
  -H "content-type: application/json" -d '{}'

성공적인 응답은 다음과 같습니다.

{ "type": "external_key_validation", "status": "success", "error": null }

워크스페이스에 키 연결

curl -sS -X POST https://api.anthropic.com/v1/organizations/workspaces/<workspace-id> \
  -H "x-api-key: <anthropic-admin-api-key>" \
  -H "anthropic-version: 2023-06-01" \
  -H "content-type: application/json" \
  -d '{
    "external_key_id": "ekey_<id>"
  }'