외부 키 스토어 생성

각 AWS 계정 및 리전에 하나 이상의 외부 키 스토어를 생성할 수 있습니다. 각 외부 키 스토어는 AWS 외부의 외부 키 관리자 및 AWS KMS와 외부 키 관리자 간의 통신을 조정하는 외부 키 스토어 프록시(XKS 프록시)와 연결되어야 합니다. 자세한 내용은 외부 키 스토어 계획 단원을 참조하세요. 시작하기 전에 외부 키 스토어가 필요한지 확인합니다. 대부분의 고객은 AWS KMS 키 구성 요소에서 지원하는 KMS 키를 사용할 수 있습니다.

외부 키 스토어를 생성하기 전에 사전 조건을 수집해야 합니다. 생성 프로세스 중 외부 키 스토어의 속성을 지정합니다. 무엇보다 AWS KMS의 외부 키 스토어가 외부 키 스토어 프록시에 연결하는 데 퍼블릭 엔드포인트를 사용하는지 아니면 VPC 엔드포인트 서비스를 사용하는지 지정합니다. 또한 프록시의 URI 엔드포인트와 AWS KMS가 프록시로 API 요청을 전송하는 프록시 엔드포인트 내의 경로를 포함한 연결 세부 정보를 지정합니다.

추가 고려 사항:

모든 새 외부 키 스토어는 연결 해제된 상태로 생성됩니다. 외부 키 스토어에서 KMS 키를 생성하려면 먼저 외부 키 스토어 프록시에 연결해야 합니다. 외부 키 스토어의 속성을 변경하려면 외부 키 스토어 설정을 편집합니다.

사전 조건 수집

외부 키 스토어를 생성하기 전에 외부 키 스토어를 지원하는 데 사용할 외부 키 관리자와 AWS KMS 요청을 외부 키 관리자가 이해할 수 있는 형식으로 변환하는 외부 키 스토어 프록시를 비롯하여 필요한 구성 요소를 조합해야 합니다.

모든 외부 키 스토어에는 다음 구성 요소가 필요합니다. 이러한 구성 요소 외에도 선택한 외부 키 스토어 프록시 연결 옵션을 지원하는 구성 요소를 제공해야 합니다.

외부 키 관리자

외부 키 스토어마다 하나 이상의 외부 키 관리자 인스턴스가 필요합니다. 이는 물리적 또는 가상 하드웨어 보안 모듈(HSM)이나 키 관리 소프트웨어일 수 있습니다.

단일 키 관리자를 사용할 수 있지만 중복성을 위해 암호화 키를 공유하는 관련 키 관리자 인스턴스를 두 개 이상 사용하는 것이 좋습니다. 외부 키 스토어에는 외부 키 관리자의 독점 사용이 필요 없습니다. 그러나 리소스 보호를 위해 외부 키 스토어에서 KMS 키를 사용하는 AWS 서비스의 예상 암호화 및 암호 복호화 요청 빈도를 처리할 수 있는 용량이 외부 키 관리자에 있어야 합니다. 외부 키 관리자는 초당 최대 1,800개의 요청을 처리하고 각 요청에 대해 250밀리초 제한 시간 내에 응답하도록 구성되어야 합니다. 네트워크 왕복 시간(RTT)이 35밀리초 이하가 되도록 AWS 리전 가까이에 외부 키 관리자를 배치하는 것이 좋습니다.

외부 키 스토어 프록시에서 허용하는 경우 외부 키 스토어 프록시와 연결하는 외부 키 관리자를 변경할 수 있지만 새 외부 키 관리자는 동일한 키 구성 요소를 사용하는 백업 또는 스냅샷이어야 합니다. KMS 키와 연결된 외부 키를 외부 키 스토어 프록시에서 더 이상 사용할 수 없는 경우 AWS KMS는 KMS 키로 암호화된 사이퍼텍스트를 복호화할 수 없습니다.

외부 키 관리자가 외부 키 스토어 프록시에 액세스할 수 있어야 합니다. 프록시의 GetHealthStatus응답이 모든 외부 키 관리자 인스턴스가 Unavailable 그렇다고 보고하면 외부 키 스토어를 생성하려는 모든 시도가 실패하고 a가 발생합니다 XksProxyUriUnreachableException.

외부 키 스토어 프록시

AWS KMS 외부 키 스토어 프록시 API 사양의 설계 요구 사항을 준수하는 외부 키 스토어 프록시(XKS 프록시)를 지정해야 합니다. 외부 키 스토어 프록시를 개발 또는 구매하거나, 외부 키 관리자가 제공하거나 외부 키 관리자에 내장된 외부 키 스토어 프록시를 사용할 수 있습니다. AWS KMS는 초당 최대 1,800개의 요청을 처리하고 각 요청에 대해 250밀리초 제한 시간 내에 응답하도록 외부 키 스토어 프록시를 구성할 것을 권장합니다. 네트워크 왕복 시간(RTT)이 35밀리초 이하가 되도록 AWS 리전 가까이에 외부 키 관리자를 배치하는 것이 좋습니다.

둘 이상의 외부 키 스토어에 대해 외부 키 스토어 프록시를 사용할 수 있지만, 각 외부 키 스토어에는 요청에 대한 외부 키 스토어 프록시 내에 고유한 URI 엔드포인트 및 경로가 있어야 합니다.

VPC 엔드포인트 서비스 연결을 사용하는 경우 Amazon VPC에서 외부 키 스토어 프록시를 찾을 수 있지만 이것이 필수는 아닙니다. 프라이빗 데이터 센터와 같이 AWS 외부에서 프록시를 찾을 수 있으며 VPC 엔드포인트 서비스는 프록시와 통신하는 데만 사용할 수 있습니다.

프록시 인증 자격 증명

외부 키 스토어를 생성하려면 외부 키 스토어 프록시 인증 자격 증명(XksProxyAuthenticationCredential)을 지정해야 합니다.

외부 키 스토어 프록시에서 AWS KMS에 대한 인증 자격 증명(XksProxyAuthenticationCredential)을 설정해야 합니다. AWS KMS는 외부 키 스토어 프록시 인증 자격 증명과 함께 Signature Version 4(SigV4) 프로세스로 요청에 서명하여 프록시에 인증합니다. 외부 키 스토어를 생성할 때 인증 자격 증명을 지정하며 언제든지 이를 변경할 수 있습니다. 프록시가 자격 증명을 교체하는 경우 외부 키 스토어의 자격 증명 값을 업데이트해야 합니다.

프록시 인증 자격 증명은 두 부분으로 구성됩니다. 외부 키 스토어에 대해 두 부분을 모두 제공해야 합니다.

AWS KMS가 외부 키 스토어 프록시에 대한 요청에 서명하는 데 사용하는 SigV4 자격 증명은 AWS 계정의 AWS Identity and Access Management 보안 주체와 연결된 SigV4 자격 증명과 무관합니다. 외부 키 스토어 프록시에 IAM SigV4 자격 증명을 재사용하지 마세요.

프록시 연결

외부 키 스토어를 생성하려면 외부 키 스토어 프록시 연결 옵션(XksProxyConnectivity)을 지정해야 합니다.

AWS KMS는 퍼블릭 엔드포인트 또는 Amazon Virtual Private Cloud(Amazon VPC) 엔드포인트 서비스를 사용하여 외부 키 스토어 프록시와 통신할 수 있습니다. 퍼블릭 엔드포인트는 구성 및 유지 관리가 더 간단하지만 모든 설치에 대한 보안 요구 사항을 충족하지 못할 수 있습니다. Amazon VPC 엔드포인트 서비스 연결 옵션을 선택하는 경우 서로 다른 두 가용 영역에 두 개 이상의 서브넷이 있는 Amazon VPC, Network Load Balancer와 대상 그룹이 있는 VPC 엔드포인트 서비스, VPC 엔드포인트 서비스의 프라이빗 DNS 이름을 비롯하여 필요한 구성 요소를 생성하고 유지 관리해야 합니다.

외부 키 스토어에 대한 프록시 연결 옵션을 변경할 수 있습니다. 그러나 외부 키 스토어에서 KMS 키와 연결된 키 구성 요소를 계속 사용할 수 있는지 확인해야 합니다. 그렇지 않으면 AWS KMS가 해당 KMS 키로 암호화된 사이퍼텍스트를 복호화할 수 없습니다.

외부 키 스토어에 가장 적합한 프록시 연결 옵션을 결정하는 방법에 대한 도움말은 프록시 연결 옵션 선택 섹션을 참조하세요. VPC 엔드포인트 서비스 연결을 생성하고 구성하는 방법에 대한 도움말은 VPC 엔드포인트 서비스 연결 구성 섹션을 참조하세요.

프록시 URI 엔드포인트

외부 키 스토어를 생성하려면 AWS KMS가 외부 키 스토어 프록시에 요청을 보내는 데 사용하는 엔드포인트(XksProxyUriEndpoint)를 지정해야 합니다.

프로토콜은 HTTPS여야 합니다. AWS KMS는 포트 443에서 통신합니다. 프록시 URI 엔드포인트 값에 포트를 지정하지 마세요.

외부 키 스토어 프록시에 구성된 TLS 서버 인증서는 외부 키 스토어 프록시 URI 엔드포인트의 도메인 이름과 일치해야 하며 외부 키 스토어에 대해 지원되는 인증 기관에서 발급해야 합니다. 목록은 신뢰할 수 있는 인증 기관을 참조하세요. 인증 기관은 TLS 인증서를 발급하기 전에 도메인 소유권 증명을 요구합니다.

TLS 인증서의 주체 일반 이름(CN)은 프라이빗 DNS 이름과 일치해야 합니다. 예를 들어 프라이빗 DNS 이름이 myproxy-private.xks.example.com인 경우 TLS 인증서의 CN은 myproxy-private.xks.example.com 또는 *.xks.example.com이어야 합니다.

프록시 URI 엔드포인트를 변경할 수 있지만, 외부 키 스토어 프록시가 외부 키 스토어의 KMS 키와 연결된 키 구성 요소에 액세스할 수 있는지 확인합니다. 그렇지 않으면 AWS KMS가 해당 KMS 키로 암호화된 사이퍼텍스트를 복호화할 수 없습니다.

고유성 요구 사항

프록시 URI 경로

외부 키 스토어를 생성하려면 외부 키 스토어 프록시에 필수 프록시 API에 대한 기본 경로를 지정해야 합니다. 값은 /로 시작하고 /kms/xks/v1로 끝나야 하며, 여기서 v1은 외부 키 스토어 프록시에 대한 AWS KMS API의 버전을 나타냅니다. 이 경로에는 /example-prefix/kms/xks/v1과 같은 필수 요소 사이에 선택적 접두사가 포함될 수 있습니다. 이 값을 찾으려면 외부 키 스토어 프록시에 대한 설명서를 참조하세요.

AWS KMS는 프록시 URI 엔드포인트와 프록시 URI 경로의 연결로 지정된 주소로 프록시 요청을 보냅니다. 예를 들어 프록시 URI 엔드포인트가 https://myproxy.xks.example.com이고 프록시 URI 경로가 /kms/xks/v1인 경우 AWS KMS는 https://myproxy.xks.example.com/kms/xks/v1로 프록시 API 요청을 보냅니다.

프록시 URI 경로를 변경할 수 있지만, 외부 키 스토어 프록시가 외부 키 스토어의 KMS 키와 연결된 키 구성 요소에 액세스할 수 있는지 확인합니다. 그렇지 않으면 AWS KMS가 해당 KMS 키로 암호화된 사이퍼텍스트를 복호화할 수 없습니다.

고유성 요구 사항

VPC 엔드포인트 서비스

외부 키 스토어 프록시와 통신하는 데 사용되는 Amazon VPC 엔드포인트 서비스의 이름을 지정합니다. 이 구성 요소는 VPC 엔드포인트 서비스 연결을 사용하는 외부 키 스토어에만 필요합니다. 외부 키 스토어의 VPC 엔드포인트 서비스를 설정하고 구성하는 방법에 대한 도움말은 VPC 엔드포인트 서비스 연결 구성 섹션을 참조하세요.

VPC 엔드포인트 서비스에 다음과 같은 속성이 있어야 합니다.

고유성 요구 사항

프록시 구성 파일

프록시 구성 파일은 외부 키 스토어의 프록시 URI 경로와 프록시 인증 자격 증명 속성에 대한 값을 포함하는 선택적 JSON 기반 파일입니다. AWS KMS 콘솔에서 외부 키 스토어를 생성하거나 편집할 때 프록시 구성 파일을 업로드하여 외부 키 스토어에 대한 구성 값을 제공할 수 있습니다. 이 파일을 사용하면 입력 및 붙여넣기 오류를 방지하고 외부 키 스토어의 값이 외부 키 스토어 프록시의 값과 일치하는지 확인할 수 있습니다.

프록시 구성 파일은 외부 키 스토어 프록시에 의해 생성됩니다. 외부 키 스토어 프록시가 프록시 구성 파일을 제공하는지 알아보려면 외부 키 스토어 프록시 설명서를 참조하세요.

다음은 가상 값이 포함된 올바른 형식의 프록시 구성 파일의 예입니다.

{
  "XksProxyUriPath": "/example-prefix/kms/xks/v1",
  "XksProxyAuthenticationCredential": {
    "AccessKeyId": "ABCDE12345670EXAMPLE",
    "RawSecretAccessKey": "0000EXAMPLEFA5FT0mCc3DrGUe2sti527BitkQ0Zr9MO9+vE="
  }
}

AWS KMS 콘솔에서 외부 키 스토어를 생성하거나 편집할 때만 프록시 구성 파일을 업로드할 수 있습니다. CreateCustomKeyStore또는 UpdateCustomKeyStore작업에는 사용할 수 없지만 프록시 구성 파일의 값을 사용하여 파라미터 값이 정확한지 확인할 수 있습니다.

외부 키 스토어 생성(콘솔)

외부 키 스토어를 생성하기 전에 외부 키 스토어 계획 섹션을 검토하고 프록시 연결 유형을 선택한 다음 필요한 구성 요소를 모두 생성하고 구성했는지 확인합니다. 필요한 값을 찾는 데 도움이 필요한 경우 외부 키 스토어 프록시 또는 키 관리 소프트웨어에 대한 설명서를 참조하세요.

절차가 성공하면 계정 및 리전의 외부 키 스토어 목록에 새로운 외부 키 스토어가 나타납니다. 절차가 실패하면 오류 메시지가 나타나서 문제를 설명하고 이를 수정할 수 있는 방법에 대한 도움말을 제공합니다. 도움이 더 필요한 경우 CreateKey 외부 키 오류 섹션을 참조하십시오.

다음: 새로운 외부 키 스토어는 자동으로 연결되지 않습니다. 외부 키 스토어에서 AWS KMS keys를 생성하려면 먼저 외부 키 스토어 프록시에 외부 키 스토어를 연결해야 합니다.

외부 키 스토어 생성(API)

CreateCustomKeyStore작업을 사용하여 새 외부 키 저장소를 생성할 수 있습니다. 필수 파라미터의 값을 찾는 방법에 대한 도움말은 외부 키 스토어 프록시 또는 키 관리 소프트웨어 설명서를 참조하세요.

외부 키 스토어를 생성하려면 CreateCustomKeyStore 작업에 다음 파라미터 값이 필요합니다.

aws configure set cli_follow_urlparam false

Error parsing parameter '--xks-proxy-uri-endpoint': Unable to retrieve 
https:// : received non 200 status code of 404

다음 예제에서는 가상의 값을 사용합니다. 명령을 실행하기 전에 해당 값을 외부 키 스토어의 유효한 값으로 바꾸세요.

퍼블릭 엔드포인트 연결이 있는 외부 키 스토어를 생성합니다.

$ aws kms create-custom-key-store
        --custom-key-store-name ExampleExternalKeyStorePublic \
        --custom-key-store-type EXTERNAL_KEY_STORE \
        --xks-proxy-connectivity PUBLIC_ENDPOINT \
        --xks-proxy-uri-endpoint https://myproxy.xks.example.com \
        --xks-proxy-uri-path /kms/xks/v1 \
        --xks-proxy-authentication-credential AccessKeyId=<value>,RawSecretAccessKey=<value>  

VPC 엔드포인트 서비스 연결이 있는 외부 키 스토어를 생성합니다.

$ aws kms create-custom-key-store
        --custom-key-store-name ExampleExternalKeyStoreVPC \
        --custom-key-store-type EXTERNAL_KEY_STORE \
        --xks-proxy-connectivity VPC_ENDPOINT_SERVICE \
        --xks-proxy-vpc-endpoint-service-name com.amazonaws.vpce.us-east-1.vpce-svc-example \
        --xks-proxy-uri-endpoint https://myproxy-private.xks.example.com \
        --xks-proxy-uri-path /kms/xks/v1 \
        --xks-proxy-authentication-credential AccessKeyId=<value>,RawSecretAccessKey=<value>

작업이 성공하면 CreateCustomKeyStore가 사용자 지정 키 스토어 ID를 반환합니다(다음 예제 응답 참조).

{
    "CustomKeyStoreId": cks-1234567890abcdef0
}

작업이 실패할 경우 예외로 표시된 오류를 정정하고 다시 시도해보세요. 추가적인 도움말은 외부 키 스토어 문제 해결 섹션을 참조하십시오.

다음: 외부 키 스토어를 사용하려면 외부 키 스토어 프록시에 연결합니다.