AWS KMS 계층적 키링 - AWS 데이터베이스 암호화 SDK

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS KMS 계층적 키링

클라이언트 측 암호화 라이브러리의 이름이 AWS 데이터베이스 암호화 로 변경되었습니다SDK. 이 개발자 안내서는 여전히 DynamoDB Encryption Client에 대한 정보를 제공합니다.
참고

2023년 7월 24일부터 개발자 시험판 중에 생성된 브랜치 키는 지원되지 않습니다. 개발자 미리 보기 중에 생성한 키 스토어를 계속 사용하려면 새 브랜치 키를 생성합니다.

AWS KMS 계층적 키링을 사용하면 레코드를 암호화하거나 복호화할 AWS KMS 때마다 를 호출하지 않고도 대칭 암호화 KMS 키로 암호화 자료를 보호할 수 있습니다. 에 대한 호출을 최소화해야 하는 애플리케이션 AWS KMS과 보안 요구 사항을 위반하지 않고 일부 암호화 자료를 재사용할 수 있는 애플리케이션에 적합합니다.

계층적 키링은 Amazon DynamoDB 테이블에 유지되는 AWS KMS 보호된 브랜치 키를 사용한 다음 암호화 및 복호화 작업에 사용되는 로컬 캐싱 브랜치 키 자료를 사용하여 AWS KMS 호출 수를 줄이는 암호화 자료 캐싱 솔루션입니다. DynamoDB 테이블은 브랜치 키를 관리하고 보호하는 키 스토어 역할을 합니다. 활성 브랜치 키와 모든 이하 버전의 브랜치 키를 저장합니다. 활성 브랜치 키는 최신 버전의 브랜치 키입니다. 계층적 키링은 각 암호화 요청에 고유한 데이터 암호화 키를 사용하고 활성 브랜치 키에서 파생된 고유한 래핑 키로 각 데이터 암호화 키를 암호화합니다. 계층적 키링은 활성 브랜치 키와 파생된 래핑 키 사이에 설정된 계층 구조에 따라 달라집니다.

계층적 키링은 일반적으로 각 브랜치 키 버전을 사용하여 여러 요청을 충족합니다. 하지만 활성 브랜치 키의 재사용 범위를 제어하고 활성 브랜치 키의 교체 빈도를 결정할 수 있습니다. 브랜치 키의 활성 버전은 교체할 때까지 활성 상태로 유지됩니다. 이하 버전의 활성 브랜치 키는 암호화 작업을 수행하는 데 사용되지 않지만 여전히 쿼리를 통해 복호화 작업에 사용할 수 있습니다.

계층적 키링을 인스턴스화하면 로컬 캐시가 생성됩니다. 캐시 제한을 지정하고 브랜치 키 자료가 만료되어 캐시에서 제거되기 전에 로컬 캐시에 저장되는 최대 시간을 정의합니다. 계층적 키링은 가 작업에 처음 branch-key-id 지정될 때 브랜치 키를 복호화하고 브랜치 키 자료를 조립하기 위해 한 AWS KMS 번 호출합니다. 그러면 브랜치 키 자료가 로컬 캐시에 저장되고 캐시 제한이 만료될 때까지 branch-key-id를 지정하는 모든 암호화 및 복호화 작업에 브랜치 키 자료가 재사용됩니다. 로컬 캐시에 브랜치 키 자료를 저장하면 AWS KMS 호출이 줄어듭니다. 예를 들어, 캐시 한도를 15분으로 가정해 보겠습니다. 해당 캐시 한도 내에서 10,000개의 암호화 작업을 수행하는 경우 기존 AWS KMS 키링은 10,000개의 암호화 작업을 충족하기 위해 10,000개의 AWS KMS 호출을 수행해야 합니다. 활성 가 하나 있는 경우 계층적 키링branch-key-id은 10,000개의 암호화 작업을 충족하기 위해 한 번만 AWS KMS 호출하면 됩니다.

로컬 캐시는 암호화 자료를 복호화 자료와 분리합니다. 암호화 자료는 활성 브랜치 키에서 조립되어 캐시 제한이 만료될 때까지 모든 암호화 작업에 재사용됩니다. 복호화 자료는 암호화된 필드의 메타데이터에서 식별되는 브랜치 키 ID 및 버전에서 조립되며 캐시 제한이 만료될 때까지 브랜치 키 ID 및 버전과 관련된 모든 복호화 작업에 재사용됩니다. 로컬 캐시는 한 번에 여러 버전의 동일한 브랜치 키를 저장할 수 있습니다. 로컬 캐시가 를 사용하도록 구성된 경우 branch key ID supplier한 번에 여러 활성 브랜치 키의 브랜치 키 자료를 저장할 수도 있습니다.

참고

AWS 데이터베이스 암호화에서 계층적 키링에 대한 모든 언급은 AWS KMS 계층적 키링을 SDK 참조합니다.

작동 방식

다음 연습에서는 계층적 키링이 암호화 및 복호화 자료를 조합하는 방법과 암호화 및 복호화 작업에 대해 키링이 수행하는 다양한 호출을 설명합니다. 래핑 키 파생 및 일반 텍스트 데이터 키 암호화 프로세스에 대한 기술 세부 정보는 AWS KMS 계층적 키링 기술 세부 정보를 참조하세요.

암호화 및 서명

다음 연습에서는 계층적 키링이 암호화 자료를 조합하고 고유한 래핑 키를 도출하는 방법을 설명합니다.

  1. 암호화 메서드는 계층적 키링에 암호화 자료를 요청합니다. 키링은 일반 텍스트 데이터 키를 생성한 다음 로컬 캐시에 래핑 키를 생성하는 데 유효한 브랜치 키 구성 요소가 있는지 확인합니다. 유효한 브랜치 키 구성 요소가 있는 경우 키링은 4단계로 진행합니다.

  2. 유효한 브랜치 키 자료가 없는 경우 계층적 키링은 활성 브랜치 키에 대해 키 스토어를 쿼리합니다.

    1. 키 스토어는 활성 브랜치 키를 복호화 AWS KMS 하기 위해 호출하고 일반 텍스트 활성 브랜치 키를 반환합니다. 활성 브랜치 키를 식별하는 데이터는 직렬화되어 에 대한 복호화 호출에서 인증된 추가 데이터(AAD)를 제공합니다 AWS KMS.

    2. 키 스토어는 브랜치 키 버전과 같이 일반 텍스트 브랜치 키와 이를 식별하는 데이터를 반환합니다.

  3. 계층적 키링은 브랜치 키 자료(일반 텍스트 브랜치 키 및 브랜치 키 버전)를 조합하여 로컬 캐시에 사본을 저장합니다.

  4. 계층적 키링은 일반 텍스트 브랜치 키와 16바이트 무작위 솔트에서 고유한 래핑 키를 가져옵니다. 파생된 래핑 키를 사용하여 일반 텍스트 데이터 키의 사본을 암호화합니다.

암호화 메서드로 암호화 자료를 사용하여 레코드를 암호화 및 서명합니다. AWS 데이터베이스 암호화 에서 레코드를 암호화하고 서명하는 방법에 대한 자세한 내용은 암호화 및 서명을 SDK참조하세요.

복호화 및 확인

다음 안내에서는 계층적 키링이 복호화 자료를 조합하고 암호화된 데이터 키를 복호화하는 방법을 설명합니다.

  1. 복호화 메서드는 암호화된 레코드의 자료 설명 필드에서 암호화된 데이터 키를 식별하고 이를 계층적 키링에 전달합니다.

  2. 계층적 키링은 브랜치 키 버전, 16바이트 솔트 및 데이터 키가 암호화된 방법을 설명하는 기타 정보 등 암호화된 데이터 키를 식별하는 데이터를 역직렬화합니다.

    자세한 내용은 AWS KMS 계층적 키링 기술 세부 정보 섹션을 참조하세요.

  3. 계층적 키링은 2단계에서 식별한 브랜치 키 버전과 일치하는 유효한 브랜치 키 자료가 로컬 캐시에 있는지 확인합니다. 유효한 브랜치 키 자료가 있는 경우 키링은 6단계로 진행됩니다.

  4. 유효한 브랜치 키 자료가 없는 경우 계층적 키링은 키 스토어에 2단계에서 식별된 브랜치 키 버전과 일치하는 브랜치 키를 쿼리합니다.

    1. 키 스토어는 브랜치 키를 복호화 AWS KMS 하기 위해 호출하고 일반 텍스트 활성 브랜치 키를 반환합니다. 활성 브랜치 키를 식별하는 데이터는 직렬화되어 에 대한 복호화 호출에서 인증된 추가 데이터(AAD)를 제공합니다 AWS KMS.

    2. 키 스토어는 브랜치 키 버전과 같이 일반 텍스트 브랜치 키와 이를 식별하는 데이터를 반환합니다.

  5. 계층적 키링은 브랜치 키 자료(일반 텍스트 브랜치 키 및 브랜치 키 버전)를 조합하여 로컬 캐시에 사본을 저장합니다.

  6. 계층적 키링은 조합된 브랜치 키 자료와 2단계에서 식별한 16바이트 솔트를 사용하여 데이터 키를 암호화한 고유 래핑 키를 재현합니다.

  7. 계층적 키링은 재생된 래핑 키를 사용하여 데이터 키를 복호화하고 일반 텍스트 데이터 키를 반환합니다.

복호화 메서드는 복호화 자료와 일반 텍스트 데이터 키를 이용해 레코드를 복호화하고 검증하는 방식입니다. AWS 데이터베이스 암호화 에서 레코드를 복호화하고 확인하는 방법에 대한 자세한 내용은 복호화 및 확인을 SDK참조하세요.

사전 조건

계층적 키링을 생성하고 사용하기 전에 다음 사전 조건이 충족되는지 확인합니다.

필수 권한

AWS 데이터베이스 암호화에는 SDK 가 필요하지 AWS 계정 않으며 에 의존하지 않습니다 AWS 서비스. 그러나 계층적 키링을 사용하려면 키 스토어의 대칭 암호화 AWS KMS key(들)에 대한 AWS 계정 및 다음과 같은 최소 권한이 필요합니다.

브랜치 키 및 키 스토어에 대한 액세스 제어에 대한 자세한 내용은 섹션을 참조하세요최소 권한 구현.

캐시 선택

계층적 키링은 암호화 및 복호화 작업에 사용되는 브랜치 키 자료를 로컬에서 캐싱 AWS KMS 하여 에 대한 호출 수를 줄입니다. 계층적 키링을 생성하기 전에 사용할 캐시 유형을 결정해야 합니다. 기본 캐시를 사용하거나 필요에 맞게 캐시를 사용자 지정할 수 있습니다.

계층적 키링은 다음 캐시 유형을 지원합니다.

기본 캐시

대부분 사용자의 경우 기본 캐시로 스레딩 요구 사항을 충족합니다. 기본 캐시는 멀티스레드가 많은 환경을 지원하도록 설계되었습니다. 브랜치 키 자료 항목이 만료되면 기본 캐시는 브랜치 키 자료 항목이 10초 전에 만료될 것임을 한 스레드에 알림 AWS KMS 으로써 여러 스레드가 호출되는 것을 방지합니다. 이렇게 하면 한 스레드만 AWS KMS 에 캐시 새로 고침 요청을 보냅니다.

기본 및 StormTracking 캐시는 동일한 스레드 모델을 지원하지만 기본 캐시를 사용하려면 입력 용량만 지정하면 됩니다. 보다 세분화된 캐시 사용자 지정을 위해 를 사용합니다StormTracking 캐시.

로컬 캐시에 저장할 수 있는 브랜치 키 자료 항목의 수를 사용자 지정하려는 경우가 아니면 계층적 키링을 생성할 때 캐시 유형을 지정할 필요가 없습니다. 캐시 유형을 지정하지 않으면 계층적 키링은 기본 캐시 유형을 사용하고 항목 용량을 1000으로 설정합니다.

기본 캐시를 사용자 지정하려면 다음 값을 지정합니다.

  • 항목 용량: 로컬 캐시에 저장할 수 있는 브랜치 키 자료 항목의 수를 제한합니다.

Java
.cache(CacheType.builder() .Default(DefaultCache.builder() .entryCapacity(100) .build())
C# / .NET
CacheType defaultCache = new CacheType { Default = new DefaultCache{EntryCapacity = 100} };

MultiThreaded 캐시

MultiThreaded 캐시는 멀티스레드 환경에서 사용하기에 안전하지만 AWS KMS 또는 Amazon DynamoDB 호출을 최소화하는 기능을 제공하지 않습니다. 따라서 브랜치 키 자료 입력이 만료되면 동시에 모든 스레드로 알림이 전송됩니다. 이로 인해 캐시를 새로 고치기 위한 여러 AWS KMS 호출이 발생할 수 있습니다.

MultiThreaded 캐시를 사용하려면 다음 값을 지정합니다.

  • 항목 용량: 로컬 캐시에 저장할 수 있는 브랜치 키 자료 항목의 수를 제한합니다.

  • 항목 정리 테일 크기: 항목 용량에 도달한 경우 정리할 항목 수를 정의합니다.

Java
.cache(CacheType.builder() .MultiThreaded(MultiThreadedCache.builder() .entryCapacity(100) .entryPruningTailSize(1) .build())
C# / .NET
CacheType multithreadedCache = new CacheType { MultiThreaded = new MultiThreadedCache { EntryCapacity = 100, EntryPruningTailSize = 1 } };

StormTracking 캐시

StormTracking 캐시는 멀티스레딩이 많은 환경을 지원하도록 설계되었습니다. 브랜치 키 자료 항목이 만료되면 StormTracking 캐시는 브랜치 키 자료 항목이 미리 만료될 것임을 한 스레드에 알림 AWS KMS 으로써 여러 스레드가 호출되는 것을 방지합니다. 이렇게 하면 한 스레드만 AWS KMS 에 캐시 새로 고침 요청을 보냅니다.

StormTracking 캐시를 사용하려면 다음 값을 지정합니다.

  • 항목 용량: 로컬 캐시에 저장할 수 있는 브랜치 키 자료 항목의 수를 제한합니다.

    기본값: 항목 1,000개

  • 항목 정리 테일 크기: 한 번에 정리할 브랜치 키 자료 항목의 수를 정의합니다.

    기본값: 항목 1개

  • 유예 기간: 브랜치 키 자료를 새로 고치려는 시도가 만료되기까지 걸리는 시간(초)을 정의합니다.

    기본값: 10초

  • 유예 간격: 브랜치 키 자료의 새로 고침 시도 간격(초)을 정의합니다.

    기본값: 1초

  • 팬아웃: 브랜치 키 자료를 새로 고칠 수 있는 동시 시도 횟수를 정의합니다.

    기본값: 20회 시도

  • 비행 시간에서 라이브(TTL): 브랜치 키 자료 새로 고침 시도가 시간 초과될 때까지의 초 수를 정의합니다. GetCacheEntry에 대한 응답으로 캐시가 NoSuchEntry를 반환할 때마다 해당 브랜치 키는 PutCache 항목과 동일한 키가 기록될 때까지 전송 중인 것으로 간주됩니다.

    기본값: 20초

  • 절전: fanOut 초과 시 스레드가 절전 상태로 유지되는 시간(초)을 정의합니다.

    기본값: 20밀리초

Java
.cache(CacheType.builder() .StormTracking(StormTrackingCache.builder() .entryCapacity(100) .entryPruningTailSize(1) .gracePeriod(10) .graceInterval(1) .fanOut(20) .inFlightTTL(20) .sleepMilli(20) .build())
C# / .NET
CacheType stormTrackingCache = new CacheType { StormTracking = new StormTrackingCache { EntryCapacity = 100, EntryPruningTailSize = 1, FanOut = 20, GraceInterval = 1, GracePeriod = 10, InFlightTTL = 20, SleepMilli = 20 } };

공유 캐시

기본적으로 계층적 키링은 키링을 인스턴스화할 때마다 새 로컬 캐시를 생성합니다. 그러나 공유 캐시를 사용하면 여러 계층적 키링에서 캐시를 공유할 수 있으므로 메모리를 절약하는 데 도움이 될 수 있습니다. 공유 캐시는 인스턴스화하는 각 계층적 키링에 대해 새 암호화 자료 캐시를 생성하는 대신 메모리에 하나의 캐시만 저장하며, 이를 참조하는 모든 계층적 키링에서 사용할 수 있습니다. 공유 캐시는 키링 간에 암호화 자료가 중복되는 것을 방지하여 메모리 사용을 최적화하는 데 도움이 됩니다. 대신 계층적 키링은 동일한 기본 캐시에 액세스하여 전체 메모리 공간을 줄일 수 있습니다.

공유 캐시를 생성할 때도 캐시 유형을 정의합니다. 기본 캐시, MultiThreaded 캐시또는 를 캐시 유형StormTracking 캐시으로 지정하거나 호환되는 사용자 지정 캐시를 대체할 수 있습니다.

파티션

여러 계층적 키링은 단일 공유 캐시를 사용할 수 있습니다. 공유 캐시를 사용하여 계층적 키링을 생성할 때 선택적 파티션 ID를 정의할 수 있습니다. 파티션 ID는 캐시에 쓰는 계층적 키링을 구분합니다. 두 계층 키링이 동일한 파티션 ID, logical key store name및 브랜치 키 ID를 참조하는 경우 두 키링은 캐시에서 동일한 캐시 항목을 공유합니다. 공유 캐시는 동일하지만 파티션은 다른 두 개의 계층적 키링을 생성하는 경우 IDs각 키링은 공유 캐시 내의 지정된 자체 파티션에서만 캐시 항목에 액세스합니다. 파티션은 공유 캐시 내에서 논리적 분할 역할을 하므로 각 계층적 키링이 다른 파티션에 저장된 데이터를 방해하지 않고 자체 지정된 파티션에서 독립적으로 작동할 수 있습니다.

파티션에서 캐시 항목을 재사용하거나 공유하려는 경우 고유한 파티션 ID를 정의해야 합니다. 파티션 ID를 계층적 키링에 전달하면 키링은 브랜치 키 자료를 다시 검색하고 다시 승인하지 않고 공유 캐시에 이미 있는 캐시 항목을 재사용할 수 있습니다. 파티션 ID를 지정하지 않으면 계층적 키링을 인스턴스화할 때마다 고유한 파티션 ID가 키링에 자동으로 할당됩니다.

다음 절차에서는 기본 캐시 유형을 사용하여 공유 캐시를 생성하고 계층적 키링에 전달하는 방법을 보여줍니다.

  1. Material Providers LibraryCryptographicMaterialsCache(CMC)를 사용하여 ()를 생성합니다MPL.

    Java
    // Instantiate the MPL final MaterialProviders matProv = MaterialProviders.builder() .MaterialProvidersConfig(MaterialProvidersConfig.builder().build()) .build(); // Create a CacheType object for the Default cache final CacheType cache = CacheType.builder() .Default(DefaultCache.builder().entryCapacity(100).build()) .build(); // Create a CMC using the default cache final CreateCryptographicMaterialsCacheInput cryptographicMaterialsCacheInput = CreateCryptographicMaterialsCacheInput.builder() .cache(cache) .build(); final ICryptographicMaterialsCache sharedCryptographicMaterialsCache = matProv.CreateCryptographicMaterialsCache(cryptographicMaterialsCacheInput);
    C# / .NET
    // Instantiate the MPL var materialProviders = new MaterialProviders(new MaterialProvidersConfig()); // Create a CacheType object for the Default cache var cache = new CacheType { Default = new DefaultCache{EntryCapacity = 100} }; // Create a CMC using the default cache var cryptographicMaterialsCacheInput = new CreateCryptographicMaterialsCacheInput {Cache = cache}; var sharedCryptographicMaterialsCache = materialProviders.CreateCryptographicMaterialsCache(cryptographicMaterialsCacheInput);
  2. 공유 캐시에 대한 CacheType 객체를 생성합니다.

    1단계에서 sharedCryptographicMaterialsCache 생성한 를 새 CacheType 객체에 전달합니다.

    Java
    // Create a CacheType object for the sharedCryptographicMaterialsCache final CacheType sharedCache = CacheType.builder() .Shared(sharedCryptographicMaterialsCache) .build();
    C# / .NET
    // Create a CacheType object for the sharedCryptographicMaterialsCache var sharedCache = new CacheType { Shared = sharedCryptographicMaterialsCache };
  3. 2단계에서 계층적 키링으로 sharedCache 객체를 전달합니다.

    공유 캐시를 사용하여 계층적 키링을 생성할 때 선택적으로 를 정의partitionID하여 여러 계층적 키링에서 캐시 항목을 공유할 수 있습니다. 파티션 ID를 지정하지 않으면 계층적 키링이 키링에 고유한 파티션 ID를 자동으로 할당합니다.

    참고

    동일한 파티션 ID, logical key store name및 브랜치 키 ID를 참조하는 두 개 이상의 키링을 생성하는 경우 계층적 키링은 공유 캐시에서 동일한 캐시 항목을 공유합니다. 여러 키링이 동일한 캐시 항목을 공유하지 않도록 하려면 각 계층적 키링에 고유한 파티션 ID를 사용해야 합니다.

    다음 예제에서는 branch key ID supplier, 캐시 한도 600초로 계층적 키링을 생성합니다. 다음 계층적 키링 구성에 정의된 값에 대한 자세한 내용은 섹션을 참조하세요계층적 키링 생성.

    Java
    // Create the Hierarchical keyring final CreateAwsKmsHierarchicalKeyringInput keyringInput = CreateAwsKmsHierarchicalKeyringInput.builder() .keyStore(keystore) .branchKeyIdSupplier(branchKeyIdSupplier) .ttlSeconds(600) .cache(sharedCache) .partitionID(partitionID) .build(); final IKeyring hierarchicalKeyring = matProv.CreateAwsKmsHierarchicalKeyring(keyringInput);
    C# / .NET
    // Create the Hierarchical keyring var createKeyringInput = new CreateAwsKmsHierarchicalKeyringInput { KeyStore = keystore, BranchKeyIdSupplier = branchKeyIdSupplier, Cache = sharedCache, TtlSeconds = 600, PartitionId = partitionID }; var keyring = materialProviders.CreateAwsKmsHierarchicalKeyring(createKeyringInput);

계층적 키링 생성

계층적 키링을 생성하려면 다음 값을 제공해야 합니다.

  • 키 스토어 이름

    사용자 또는 키 스토어 관리자가 키 스토어 역할을 하도록 생성한 DynamoDB 테이블의 이름입니다.

  • 캐시 제한 라이브 시간(TTL)

    로컬 캐시 내의 브랜치 키 자료 항목이 만료되기 전에 사용할 수 있는 시간(초) 입니다. 캐시 제한은 클라이언트가 브랜치 키 사용을 승인 AWS KMS 하기 위해 를 호출하는 빈도를 TTL 지정합니다. 이 값은 0보다 커야 합니다. 캐시 제한이 TTL 만료되면 항목이 제공되지 않으며 로컬 캐시에서 제거됩니다.

  • 브랜치 키 식별자

    키 스토어에서 단일 활성 브랜치 키를 branch-key-id 식별하는 를 정적으로 구성하거나 브랜치 키 ID 공급자를 제공할 수 있습니다.

    브랜치 키 ID 공급자는 암호화 컨텍스트에 저장된 필드를 사용하여 레코드를 복호화하는 데 필요한 브랜치 키를 결정합니다. 기본적으로 파티션 및 정렬 키만 암호화 컨텍스트에 포함됩니다. 그러나 SIGN_AND_INCLUDE_IN_ENCRYPTION_CONTEXT 암호화 작업을 사용하여 암호화 컨텍스트에 추가 필드를 포함할 수 있습니다.

    각 테넌트에 자체 브랜치 키가 있는 멀티테넌트 데이터베이스에는 브랜치 키 ID 공급자를 사용하는 것이 좋습니다. 브랜치 키 ID 공급자를 사용하여 브랜치 키에 대한 친숙한 이름을 생성IDs하여 특정 테넌트에 대한 올바른 브랜치 키 ID를 쉽게 인식할 수 있습니다. 예를 들어 친숙한 이름을 사용하면 브랜치 키를 b3f61619-4d35-48ad-a275-050f87e15122 대신 tenant1로 참조할 수 있습니다.

    복호화 작업의 경우 단일 계층적 키링을 정적으로 구성하여 복호화을 단일 테넌트로 제한하거나 브랜치 키 ID 공급자를 사용하여 레코드 복호화을 담당하는 테넌트를 식별할 수 있습니다.

  • (선택 사항) 캐시

    캐시 유형이나 로컬 캐시에 저장할 수 있는 브랜치 키 자료 항목 수를 사용자 지정하려면 키링을 초기화할 때 캐시 유형과 항목 용량을 지정하세요.

    계층적 키링은 기본, MultiThreaded, StormTracking공유 캐시 유형을 지원합니다. 각 캐시 유형을 정의하는 방법을 보여주는 자세한 내용과 예제는 섹션을 참조하세요캐시 선택.

    캐시를 지정하지 않으면 계층적 키링은 자동으로 기본 캐시 유형을 사용하고 항목 용량을 1,000으로 설정합니다.

  • (선택 사항) 파티션 ID

    를 지정하는 경우 선택적으로 파티션 ID를 정의할 공유 캐시수 있습니다. 파티션 ID는 캐시에 쓰는 계층적 키링을 구분합니다. 파티션에서 캐시 항목을 재사용하거나 공유하려는 경우 고유한 파티션 ID를 정의해야 합니다. 파티션 ID에 대한 문자열을 지정할 수 있습니다. 파티션 ID를 지정하지 않으면 생성 시 고유한 파티션 ID가 키링에 자동으로 할당됩니다.

    자세한 내용은 Partitions 단원을 참조하십시오.

    참고

    동일한 파티션 ID, logical key store name및 브랜치 키 ID를 참조하는 두 개 이상의 키링을 생성하는 경우 계층적 키링은 공유 캐시에서 동일한 캐시 항목을 공유합니다. 여러 키링이 동일한 캐시 항목을 공유하지 않도록 하려면 각 계층적 키링에 고유한 파티션 ID를 사용해야 합니다.

  • (선택 사항) 권한 부여 토큰 목록

    권한 부여를 사용하여 계층적 키링의 KMS 키에 대한 액세스를 제어하는 경우 키링을 초기화할 때 필요한 모든 권한 부여 토큰을 제공해야 합니다.

다음 예제에서는 정적 브랜치 키 ID, 기본 캐시및 600초TTL의 캐시 제한이 있는 계층적 키링을 생성하는 방법을 보여줍니다.

Java
final MaterialProviders matProv = MaterialProviders.builder() .MaterialProvidersConfig(MaterialProvidersConfig.builder().build()) .build(); final CreateAwsKmsHierarchicalKeyringInput keyringInput = CreateAwsKmsHierarchicalKeyringInput.builder() .keyStore(branchKeyStoreName) .branchKeyId(branch-key-id) .ttlSeconds(600) .build(); final Keyring hierarchicalKeyring = matProv.CreateAwsKmsHierarchicalKeyring(keyringInput);
C# / .NET
var matProv = new MaterialProviders(new MaterialProvidersConfig()); var keyringInput = new CreateAwsKmsHierarchicalKeyringInput { KeyStore = keystore, BranchKeyIdSupplier = branchKeyIdSupplier, TtlSeconds = 600 }; var hierarchicalKeyring = matProv.CreateAwsKmsHierarchicalKeyring(keyringInput);

다음 절차에서는 브랜치 키 ID 공급자를 사용하여 계층적 키링을 생성하는 방법을 보여줍니다.

  1. 브랜치 키 ID 공급자 생성

    다음 예제에서는 1단계에서 생성된 두 브랜치 키에 대한 친숙한 이름을 생성하고 DynamoDB 클라이언트SDK용 AWS 데이터베이스 암호화를 사용하여 브랜치 키 ID 공급자를 생성CreateDynamoDbEncryptionBranchKeyIdSupplier하도록 를 호출합니다.

    Java
    // Create friendly names for each branch-key-id class ExampleBranchKeyIdSupplier implements IDynamoDbKeyBranchKeyIdSupplier { private static String branchKeyIdForTenant1; private static String branchKeyIdForTenant2; public ExampleBranchKeyIdSupplier(String tenant1Id, String tenant2Id) { this.branchKeyIdForTenant1 = tenant1Id; this.branchKeyIdForTenant2 = tenant2Id; } // Create the branch key ID supplier final DynamoDbEncryption ddbEnc = DynamoDbEncryption.builder() .DynamoDbEncryptionConfig(DynamoDbEncryptionConfig.builder().build()) .build(); final BranchKeyIdSupplier branchKeyIdSupplier = ddbEnc.CreateDynamoDbEncryptionBranchKeyIdSupplier( CreateDynamoDbEncryptionBranchKeyIdSupplierInput.builder() .ddbKeyBranchKeyIdSupplier(new ExampleBranchKeyIdSupplier(branch-key-ID-tenant1, branch-key-ID-tenant2)) .build()).branchKeyIdSupplier();
    C# / .NET
    // Create friendly names for each branch-key-id class ExampleBranchKeyIdSupplier : DynamoDbKeyBranchKeyIdSupplierBase { private String _branchKeyIdForTenant1; private String _branchKeyIdForTenant2; public ExampleBranchKeyIdSupplier(String tenant1Id, String tenant2Id) { this._branchKeyIdForTenant1 = tenant1Id; this._branchKeyIdForTenant2 = tenant2Id; } // Create the branch key ID supplier var ddbEnc = new DynamoDbEncryption(new DynamoDbEncryptionConfig()); var branchKeyIdSupplier = ddbEnc.CreateDynamoDbEncryptionBranchKeyIdSupplier( new CreateDynamoDbEncryptionBranchKeyIdSupplierInput { DdbKeyBranchKeyIdSupplier = new ExampleBranchKeyIdSupplier(branch-key-ID-tenant1, branch-key-ID-tenant2) }).BranchKeyIdSupplier;
  2. 계층적 키링 생성

    다음 예제에서는 1단계에서 생성된 브랜치 키 ID 공급자, 600초TLL의 캐시 제한, 1000의 최대 캐시 크기로 계층적 키링을 초기화합니다.

    Java
    final MaterialProviders matProv = MaterialProviders.builder() .MaterialProvidersConfig(MaterialProvidersConfig.builder().build()) .build(); final CreateAwsKmsHierarchicalKeyringInput keyringInput = CreateAwsKmsHierarchicalKeyringInput.builder() .keyStore(keystore) .branchKeyIdSupplier(branchKeyIdSupplier) .ttlSeconds(600) .cache(CacheType.builder() //OPTIONAL .Default(DefaultCache.builder() .entryCapacity(100) .build()) .build(); final Keyring hierarchicalKeyring = matProv.CreateAwsKmsHierarchicalKeyring(keyringInput);
    C# / .NET
    var matProv = new MaterialProviders(new MaterialProvidersConfig()); var keyringInput = new CreateAwsKmsHierarchicalKeyringInput { KeyStore = keystore, BranchKeyIdSupplier = branchKeyIdSupplier, TtlSeconds = 600, Cache = new CacheType { Default = new DefaultCache { EntryCapacity = 100 } } }; var hierarchicalKeyring = matProv.CreateAwsKmsHierarchicalKeyring(keyringInput);

검색 가능한 암호화를 위한 계층적 키링 사용

검색 가능한 암호화를 사용하면 전체 데이터베이스를 복호화하지 않고도 암호화된 레코드를 검색할 수 있습니다. 이는 암호화된 필드의 일반 텍스트 값을 컨으로 인덱싱하여 수행됩니다. 검색 가능한 암호화를 구현하려면 계층적 키링을 사용해야 합니다.

키 스토어 CreateKey 작업은 브랜치 키와 비컨 키를 모두 생성합니다. 브랜치 키는 레코드 암호화 및 복호화 작업에 사용됩니다. 비컨 키는 비컨을 생성하는 데 사용됩니다.

브랜치 키와 비컨 키는 키 스토어 서비스를 생성할 때 지정한 AWS KMS key 것과 동일하게 보호됩니다. CreateKey 작업이 브랜치 키를 생성 AWS KMS 하도록 호출한 후 kmsGenerateDataKeyWithoutPlaintext를 호출합니다. 이 두 번째는 다음 요청을 사용하여 비컨 키를 생성하는 것입니다.

{ "EncryptionContext": { "branch-key-id" : "branch-key-id", "type" : type, "create-time" : "timestamp", "logical-key-store-name" : "the logical table name for your key store", "kms-arn" : the KMS key ARN, "hierarchy-version" : 1 }, "KeyId": "the KMS key ARN", "NumberOfBytes": "32" }

두 키를 모두 생성한 후 CreateKey 작업은 ddb를TransactWriteItems 호출하여 브랜치 키 스토어에 브랜치 키와 비컨 키를 유지하는 두 개의 새 항목을 작성합니다.

표준 비컨 을 구성하면 AWS 데이터베이스 암호화가 비컨 키의 키 스토어를 SDK 쿼리합니다. 그런 다음 HMAC기반 extract-and-expand 키 파생 함수(HKDF)를 사용하여 비컨 키를 표준 비컨의 이름과 결합하여 지정된 비컨의 HMAC 키를 생성합니다.

브랜치 키와 달리 키 스토어에는 에 대한 비컨 키 버전은 하나뿐branch-key-id입니다. 비컨 키는 절대 교체되지 않습니다.

비컨 키 소스 정의하기

표준 및 복합 비컨에 대한 비컨 버전을 정의할 때 비컨 키를 식별하고 비컨 키 구성 요소에 대한 라이브 캐시 제한 시간(TTL)을 정의해야 합니다. 비컨 키 자료는 브랜치 키와는 별도의 로컬 캐시에 저장됩니다. 다음 스니펫은 단일 테넌트 데이터베이스용으로 keySource를 정의하는 방법을 보여줍니다. 연결된 branch-key-id에 의한 비컨 키로 비컨 키를 식별합니다.

Java
keySource(BeaconKeySource.builder() .single(SingleKeyStore.builder() .keyId(branch-key-id) .cacheTTL(6000) .build()) .build())
C# / .NET
KeySource = new BeaconKeySource { Single = new SingleKeyStore { KeyId = branch-key-id, CacheTTL = 6000 } }
멀티테넌트 데이터베이스의 비컨 소스 정의

멀티테넌트 데이터베이스를 사용하는 경우 keySource를 구성할 때 다음 값을 지정해야 합니다.

  • keyFieldName

    지정된 테넌트에 대한 비컨을 생성하는 데 사용된 비컨 키와 branch-key-id 관련된 필드를 저장하는 필드의 이름을 정의합니다. keyFieldName은 임의의 문자열일 수 있지만 데이터베이스의 다른 모든 필드에 고유해야 합니다. 데이터베이스에 새 레코드를 쓰는 경우 해당 레코드에 대한 비컨을 생성하는 데 사용되는 비컨 키를 식별하는 branch-key-id가 이 필드에 저장됩니다. 비컨 쿼리에 이 필드를 포함하고 비컨을 재계산하는 데 필요한 적절한 비컨 키 자료를 식별해야 합니다. 자세한 내용은 멀티테넌트 데이터베이스의 비컨 쿼리 단원을 참조하십시오.

  • 캐시TTL

    로컬 비컨 캐시 내의 비컨 키 자료 항목이 만료되기 전에 사용할 수 있는 시간(초) 입니다. 이 값은 0보다 커야 합니다. 캐시 제한이 TTL 만료되면 로컬 캐시에서 항목이 제거됩니다.

  • (선택 사항) 캐시

    캐시 유형이나 로컬 캐시에 저장할 수 있는 브랜치 키 자료 항목 수를 사용자 지정하려면 키링을 초기화할 때 캐시 유형과 항목 용량을 지정하세요.

    계층적 키링은 기본, 및 MultiThreaded StormTracking공유 캐시 유형을 지원합니다. 각 캐시 유형을 정의하는 방법을 보여주는 자세한 내용과 예제는 섹션을 참조하세요캐시 선택.

    캐시를 지정하지 않으면 계층적 키링은 자동으로 기본 캐시 유형을 사용하고 항목 용량을 1,000으로 설정합니다.

다음 예제에서는 브랜치 키 ID 공급자TLL의 캐시 제한 600초 및 입력 용량 1000을 사용하여 계층적 키링을 생성합니다.

Java
final MaterialProviders matProv = MaterialProviders.builder() .MaterialProvidersConfig(MaterialProvidersConfig.builder().build()) .build(); final CreateAwsKmsHierarchicalKeyringInput keyringInput = CreateAwsKmsHierarchicalKeyringInput.builder() .keyStore(branchKeyStoreName) .branchKeyIdSupplier(branchKeyIdSupplier) .ttlSeconds(600) .cache(CacheType.builder() //OPTIONAL .Default(DefaultCache.builder() .entryCapacity(1000) .build()) .build(); final IKeyring hierarchicalKeyring = matProv.CreateAwsKmsHierarchicalKeyring(keyringInput);
C# / .NET
var matProv = new MaterialProviders(new MaterialProvidersConfig()); var keyringInput = new CreateAwsKmsHierarchicalKeyringInput { KeyStore = keystore, BranchKeyIdSupplier = branchKeyIdSupplier, TtlSeconds = 600, Cache = new CacheType { Default = new DefaultCache { EntryCapacity = 1000 } } }; var hierarchicalKeyring = matProv.CreateAwsKmsHierarchicalKeyring(keyringInput);