가져온 키 구성 요소 보호 - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

가져온 키 구성 요소 보호

가져온 키 구성 요소는 전송 중 및 보관 중에 보호됩니다. 키 구성 요소를 가져오기 전에 FIPS140-2 암호화 모듈 검증 프로그램 에 따라 검증된 AWS KMS 하드웨어 보안 모듈()에서 생성된 키 페어의 퍼블릭 키로 RSA 키 구성 요소를 암호화(또는 '랩'HSMs)합니다. 래핑 퍼블릭 키로 키 구성 요소를 직접 암호화하거나 AES 대칭 키로 키 구성 요소를 암호화한 다음 RSA 퍼블릭 키로 AES 대칭 키를 암호화할 수 있습니다.

수신 시 는 에서 해당 프라이빗 키로 키 구성 요소를 AWS KMS 해독 AWS KMS HSM하고 AES 의 휘발성 메모리에만 있는 대칭 키로 다시 암호화합니다HSM. 키 구성 요소는 를 일반 텍스트HSM로 남겨 두지 않습니다. 사용 중이고 내에서만 복호화됩니다 AWS KMS HSMs.

가져온 KMS 키 구성 요소와 키의 사용은 KMS 키에 설정한 액세스 제어 정책에 의해서만 결정됩니다. 또한 별칭태그를 사용하여 KMS 키에 대한 액세스를 식별하고 제어할 수 있습니다. AWS CloudTrail과 같은 서비스를 사용하여 키를 활성화 및 비활성화하고 확인하며 모니터링할 수 있습니다.

하지만 키 구성 요소의 유일한 안전 장치 복사본은 유지해야 합니다. 이 추가 제어 조치의 대가로 가져온 키 구성 요소의 내구성과 전반적인 가용성을 책임져야 합니다. AWS KMS 는 가져온 키 구성 요소를 고가용성으로 유지하도록 설계되었습니다. 하지만 AWS KMS 는 가져온 키 구성 요소의 내구성을 가 AWS KMS 생성하는 키 구성 요소와 동일한 수준으로 유지하지 않습니다.

내구성의 이러한 차이는 다음과 같은 경우에 의미가 있습니다.

  • 가져온 키 구성 요소의 만료 시간을 설정하면 는 키 구성 요소가 만료된 후 AWS KMS 삭제합니다. 는 KMS 키 또는 메타데이터를 삭제하지 AWS KMS 않습니다. 가져온 키 구성 요소가 만료 날짜에 가까워지면 알려주는 Amazon CloudWatch 경보를 생성할 수 있습니다.

    키에 대해 가 AWS KMS 생성하는 키 구성 요소를 삭제할 수 없으며 키 구성 요소를 로 교체해도 AWS KMS 키 구성 요소가 만료되도록 설정할 수 KMS 없습니다.

  • 가져온 키 구성 요소를 수동으로 삭제하면 는 키 구성 요소를 AWS KMS 삭제하지만 KMS 키 또는 메타데이터는 삭제하지 않습니다. 반대로 키 삭제를 예약하려면 7~30일의 대기 기간이 필요하며, 그 후에는 가 KMS 키, 메타데이터 및 키 구성 요소를 AWS KMS 영구적으로 삭제합니다.

  • 드물게 영향을 미치는 특정 리전 전체의 장애 AWS KMS (예: 총 전력 손실)가 발생할 경우 는 가져온 키 구성 요소를 자동으로 복원할 AWS KMS 수 없습니다. 그러나 AWS KMS 는 KMS 키와 메타데이터를 복원할 수 있습니다.

가져온 키 구성 요소의 복사본을 제어하는 시스템의 외부 AWS 에 보관해야 합니다. 가져온 키 구성 요소의 내보내기 가능한 복사본을 와 같은 키 관리 시스템에 저장하는 것이 좋습니다HSM. 가져온 키 구성 요소가 삭제되거나 만료되면 동일한 KMS 키 구성 요소를 다시 가져올 때까지 연결된 키를 사용할 수 없게 됩니다. 가져온 키 구성 요소가 영구적으로 손실되면 KMS 키로 암호화된 모든 암호 텍스트를 복구할 수 없습니다.