기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS KMS 개념

AWS Key Management Service (AWS KMS)에 사용되는 기본 용어 및 개념과 이러한 용어 및 개념이 함께 작동하여 데이터를 보호하는 방법을 알아봅니다.

에 대한 소개 AWS KMS

AWS Key Management Service (AWS KMS)는 암호화 키를 생성 및 관리할 수 있는 웹 인터페이스를 제공하며 데이터를 보호하기 위한 암호화 서비스 제공업체로 작동합니다. AWS KMS 는 AWS 서비스와 통합된 기존 키 관리 서비스를 제공하여 중앙 집중식 관리 및 감사를 AWS통해 에서 고객의 키를 일관되게 볼 수 있도록 합니다.

AWS KMS 에는 를 통한 웹 인터페이스 AWS Management Console, 명령줄 인터페이스 및 FIPS140-2개의 검증된 하드웨어 보안 모듈()로 구성된 분산 플릿의 암호화 작업을 요청하는 RESTful API 작업이 포함되어 있습니다HSMs. AWS KMS HSM 는 의 보안 및 확장성 요구 사항을 충족하는 전용 암호화 기능을 제공하도록 설계된 멀티칩 독립 실행형 하드웨어 암호화 어플라이언스입니다 AWS KMS. 로 관리하는 키에서 자체 HSM기반 암호화 계층을 설정할 수 있습니다 AWS KMS keys. 이러한 키는 암호화 요청을 처리하는 데 필요한 시간 동안 에서만 사용할 수 HSMs 있으며 메모리에서만 사용할 수 있습니다. 각각 KMS 키 ID로 표시되는 여러 키를 생성할 수 있습니다. 각 고객이 관리하는 역할 및 계정 하에서 AWS IAM만 고객 관리형 KMS 키를 생성, 삭제 또는 사용하여 데이터를 암호화, 복호화, 서명 또는 확인할 수 있습니다. KMS 키에 연결된 정책을 생성하여 키를 관리 및/또는 사용할 수 있는 사용자에 대한 액세스 제어를 정의할 수 있습니다. 이러한 정책을 사용하면 각 API 작업에 대한 키의 애플리케이션별 사용을 정의할 수 있습니다.

또한 대부분의 AWS 서비스는 KMS 키를 사용하여 저장 데이터 암호화를 지원합니다. 이 기능을 통해 고객은 KMS 키에 액세스하는 방법과 시간을 제어하여 AWS 서비스가 암호화된 데이터에 액세스하는 방법과 시간을 제어할 수 있습니다.

AWS KMS 는 웹 기반 AWS KMS 호스트와 계층으로 구성된 계층형 서비스입니다HSMs. 이러한 계층화된 호스트의 그룹화는 AWS KMS 스택을 구성합니다. 에 대한 모든 요청은 전송 계층 보안 프로토콜(TLS)을 통해 이루어져야 하며 AWS KMS host. AWS KMS hosts에서 종료 AWS KMS 되어야 합니다. 는 완벽한 전달 보안 을 제공하는 암호 세트TLS로만 허용됩니다. AWS KMS 는 다른 AWS API 모든 작업에 사용할 수 있는 AWS Identity and Access Management (IAM)와 동일한 자격 증명 및 정책 메커니즘을 사용하여 요청을 인증하고 승인합니다.

AWS KMS 설계 목표

AWS KMS 는 다음 요구 사항을 충족하도록 설계되었습니다.

이러한 목표를 달성하기 위해 AWS KMS 시스템에는 “도메인”을 관리하는 일련의 AWS KMS 연산자 및 서비스 호스트 연산자(총칭하여 “운용자”)가 포함됩니다. 도메인은 리전별로 정의된 AWS KMS 서버, HSMs및 연산자 집합입니다. 각 AWS KMS 운영자에는 작업을 인증하는 데 사용되는 프라이빗 및 퍼블릭 키 페어가 포함된 하드웨어 토큰이 있습니다. HSMs 에는 HSM 상태 동기화를 보호하는 암호화 키를 설정하는 추가 프라이빗 및 퍼블릭 키 페어가 있습니다.