기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
데이터 키 생성
데이터 키는 많은 양의 데이터 및 기타 데이터 암호화 키를 포함하여 데이터를 암호화하는 데 사용할 수 있는 대칭 키입니다. 다운로드할 수 없는 대칭 KMS 키와 달리 데이터 키는 AWS KMS 외부 사용용으로 반환됩니다.
AWS KMS가 데이터 키를 생성하는 경우 즉시 사용(선택 사항)할 수 있도록 일반 텍스트 데이터 키와 데이터와 함께 안전하게 저장할 수 있는 데이터 키의 암호화된 복사본을 반환합니다. 데이터를 해독할 준비가 되면 먼저 AWS KMS에 암호화된 데이터 키를 해독하도록 요청합니다.
AWS KMS는 데이터 키를 생성, 암호화 및 해독합니다. 그러나 AWS KMS는 데이터 키를 저장, 관리 또는 추적하거나 데이터 키로 암호화 작업을 수행하지 않습니다. 따라서 AWS KMS 밖에서 데이터 키를 사용하고 관리해야 합니다. 데이터 키를 안전하게 사용하는 데 도움이 필요하면 AWS Encryption SDK 섹션을 참조하세요.
데이터 키 생성
데이터 키를 생성하려면 GenerateDataKey 작업을 호출합니다. AWS KMS가 데이터 키를 생성합니다. 그런 다음 KMS가 사용자에 의해 지정된 대칭 암호화 KMS 키로 데이터 키의 복사본을 암호화합니다. 이 작업은 데이터 키의 일반 텍스트 복사본과 KMS 키로 암호화된 데이터 키 복사본을 반환합니다. 다음 그림은 이 작업을 보여 줍니다.
또한 AWS KMS는 오직 암호화된 데이터 키만 반환하는 GenerateDataKeyWithoutPlaintext 작업을 지원합니다. 데이터 키를 사용해야 할 때는 AWS KMS에 데이터 키를 해독하도록 요청합니다.
데이터 키를 사용한 암호화 작업의 작동 방식
다음 주제에서는 GenerateDataKey 또는 GenerateDataKeyWithoutPlaintext 작업에서 생성된 데이터 키의 작동 방식을 설명합니다.
데이터 키로 데이터 암호화
AWS KMS는 데이터 키를 사용하여 데이터를 암호화할 수 없습니다. 하지만 OpenSSL 또는 AWS Encryption SDK 같은 암호화 라이브러리를 사용하여 AWS KMS 외부에서 데이터 키를 사용할 수 있습니다.
일반 텍스트 데이터 키를 사용하여 데이터를 암호화한 다음에는 가능한 빨리 메모리에서 제거하세요. 데이터 암호화를 해제하는 데 사용할 수 있도록 암호화된 데이터와 함께 암호화된 데이터 키를 안전하게 저장할 수 있습니다.
데이터 키로 데이터 해독
데이터 암호화를 해제하려면 Decrypt 작업으로 암호화된 데이터 키를 전달합니다. AWS KMS는 KMS 키를 사용하여 데이터 키를 암호화 해제한 다음 일반 텍스트 데이터 키를 반환합니다. 일반 텍스트 데이터 키를 사용하여 데이터를 해독한 다음, 가능한 빨리 메모리에서 일반 텍스트 데이터 키를 제거하세요.
다음 다이어그램은 Decrypt 작업을 사용하여 암호화된 데이터 키를 암호화 해제하는 방법을 보여줍니다.
