기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Decrypt
이 예제에서는 [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) 작업에 대한 AWS CloudTrail 로그 항목을 보여줍니다.
`Decrypt` 작업에 대한 CloudTrail 로그 항목에는 요청에 암호화 알고리즘이 지정되지 않은 경우라도 항상 `requestParameters`에 `encryptionAlgorithm`이 포함되어 있습니다. 요청의 암호문과 응답의 일반 텍스트는 생략됩니다.
**Topics**
+ [표준 대칭 암호화 키로 복호화](#ct-decrypt-default)
+ [표준 대칭 암호화 키로 복호화 실패](#ct-decrypt-fail)
+ [키 스토어의 KMS AWS CloudHSM 키로 복호화](#ct-decrypt-hsm)
+ [외부 키 스토어에서 KMS 키로 복호화](#ct-decrypt-xks)
+ [외부 키 스토어에서 KMS 키로 복호화 실패](#ct-decrypt-xks-fail)
+ [포스트 양자 TLS 연결을 통해 표준 대칭 암호화 키로 복호화](#ct-decrypt-default-pqtls)
## 표준 대칭 암호화 키로 복호화
다음은 표준 대칭 암호화 키를 사용한 `Decrypt` 작업에 대한 예제 CloudTrail 로그 항목입니다.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-05-20T20:45:00Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"encryptionContext": {
"Department": "Engineering",
"Project": "Alpha"
}
},
"responseElements": null,
"additionalEventData": {
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "12345126-30d5-4b28-98b9-9153da559963",
"eventID": "abcde202-ba1a-467c-b4ba-f729d45ae521",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.2",
"cipherSuite": "ECDHE-RSA-AES256-GCM-SHA384",
"clientProvidedHostHeader": "kms.us-west-2.amazonaws.com"
}
}
```
## 표준 대칭 암호화 키로 복호화 실패
다음 예제 CloudTrail 로그 항목은 표준 대칭 암호화 KMS 키를 사용하여 실패한 `Decrypt` 작업을 기록합니다. 예외(`errorCode`)와 오류 메시지(`errorMessage`)가 포함되어 있어 오류를 해결하는 데 도움이 됩니다.
이 경우 `Decrypt` 요청에 지정된 대칭 KMS 키는 데이터를 암호화하는 데 사용된 대칭 KMS 키가 아닙니다.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-11-24T18:57:43Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "AWS Internal",
"errorCode": "IncorrectKeyException"
"errorMessage": "The key ID in the request does not identify a CMK that can perform this operation.",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"encryptionContext": {
"Department": "Engineering",
"Project": "Alpha"
}
},
"responseElements": null,
"requestID": "22345126-30d5-4b28-98b9-9153da559963",
"eventID": "abcde202-ba1a-467c-b4ba-f729d45ae521",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
## 키 스토어의 KMS AWS CloudHSM 키로 복호화
다음 예제 CloudTrail 로그 항목은 [AWS CloudHSM 키 스토어](keystore-cloudhsm.md)에서 KMS 키를 사용한 `Decrypt` 작업을 기록합니다. 사용자 지정 키 저장소의 KMS 키를 사용하는 암호화 작업에 대한 모든 로그 항목에는 `customKeyStoreId` 및 `backingKeyId`가 있는 `additionalEventData` 필드가 포함됩니다. `backingKeyId` 필드에 반환되는 값은 CloudHSM 키 `id` 속성입니다. `additionalEventData`가 요청에 지정되지 않았습니다.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2021-10-26T23:41:27Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"encryptionContext": {
"Department": "Development",
"Purpose": "Test"
}
},
"responseElements": null,
"additionalEventData": {
"customKeyStoreId": "cks-1234567890abcdef0"
},
"requestID": "e1b881f8-2048-41f8-b6cc-382b7857ec61",
"eventID": "a79603d5-4cde-46fc-819c-a7cf547b9df4",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
## 외부 키 스토어에서 KMS 키로 복호화
다음 예제 CloudTrail 로그 항목은 [외부 키 스토어](keystore-external.md)에서 대칭 KMS 키를 사용한 `Decrypt` 작업을 기록합니다. `additionalEventData` 필드에는 `customKeyStoreId` 외에도 [외부 키 ID](keystore-external.md#concept-external-key)(`XksKeyId`)가 포함됩니다. `additionalEventData`가 요청에 지정되지 않았습니다.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-11-24T00:26:58Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
"encryptionContext": {
"Department": "Engineering",
"Purpose": "Test"
}
},
"responseElements": null,
"additionalEventData": {
"customKeyStoreId": "cks-9876543210fedcba9",
"xksKeyId": "abc01234567890fe"
},
"requestID": "f1b881f8-2048-41f8-b6cc-382b7857ec61",
"eventID": "b79603d5-4cde-46fc-819c-a7cf547b9df4",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
## 외부 키 스토어에서 KMS 키로 복호화 실패
다음 예제 CloudTrail 로그 항목은 [외부 키 스토어](keystore-external.md)에서 KMS 키를 사용한 `Decrypt` 작업에 대한 실패한 요청을 기록합니다. CloudWatch는 성공한 요청 외에도 실패한 요청을 기록합니다. 실패를 기록할 때 CloudTrail 로그 항목에는 예외(errorCode)와 함께 제공되는 오류 메시지(errorMessage)가 포함됩니다.
이 예제와 같이 실패한 요청이 외부 키 스토어 프록시에 도달한 경우 `requestId` 값을 사용하여 실패한 요청을 외부 키 스토어 프록시가 기록하는 해당 요청과 연결할 수 있습니다(프록시가 제공하는 경우).
외부 키 스토어의 `Decrypt` 요청에 대한 도움말은 [복호화 오류](xks-troubleshooting.md#fix-xks-decrypt) 섹션을 참조하세요.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2022-11-24T00:26:58Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"errorCode": "KMSInvalidStateException",
"errorMessage": "The external key store proxy rejected the request because the specified ciphertext or additional authenticated data is corrupted, missing, or otherwise invalid.",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
"encryptionContext": {
"Department": "Engineering",
"Purpose": "Test"
}
},
"responseElements": null,
"additionalEventData": {
"customKeyStoreId": "cks-9876543210fedcba9",
"xksKeyId": "abc01234567890fe"
},
"requestID": "f1b881f8-2048-41f8-b6cc-382b7857ec61",
"eventID": "b79603d5-4cde-46fc-819c-a7cf547b9df4",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
## 포스트 양자 TLS 연결을 통해 표준 대칭 암호화 키로 복호화
다음은 포스트 양자 TLS 연결을 통해 표준 대칭 암호화 키를 사용하는 `Decrypt` 작업에 대한 CloudTrail 로그 항목의 예입니다. `tlsDetails` 섹션의 keyExchange 필드에는가 언급되어 있습니다`X25519MLKEM768`. 이 하이브리드 알고리즘은 오늘날 TLS에 사용되는 클래식 키 교환 알고리즘인 [Curve 25519](https://en.wikipedia.org/wiki/Curve25519)를 통한 [타원 곡선 디피-헬만](https://en.wikipedia.org/wiki/Elliptic-curve_Diffie%E2%80%93Hellman)(ECDH)과 미국 국립 표준 기술 연구소(NIST)[가 첫 번째 표준 포스트 양자 키-합의 알고리즘으로 지정한](https://csrc.nist.gov/pubs/fips/203/final) ML-KEM퍼블릭 키 암호화 및 키 설정 알고리즘인 [Module-Lattice-Based 키 캡슐화 메커니즘](https://csrc.nist.gov/pubs/fips/203/final)()을 결합하는 *하이브리드* 알고리즘입니다.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2025-11-12T15:16:26Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "aws-sdk-java/2.30.22 md/io#async md/http#AwsCommonRuntime ...",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"encryptionContext": {
"Department": "Engineering",
"Project": "Alpha"
}
},
"responseElements": null,
"additionalEventData": {
"keyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
},
"requestID": "12345126-30d5-4b28-98b9-9153da559963",
"eventID": "abcde202-ba1a-467c-b4ba-f729d45ae521",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_256_GCM_SHA384",
"clientProvidedHostHeader": "kms.us-west-2.amazonaws.com",
"keyExchange": "X25519MLKEM768"
}
}
```