기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
키 구성 요소를 로 가져오기 전에 가져온 키 구성 요소의 다음 특성을 이해해야 AWS KMS합니다.
- 키 구성 요소를 생성합니다.
-
보안 요구 사항에 부합하는 임의 소스를 이용해 키 구성 요소를 생성해야 합니다.
- 키 구성 요소를 삭제할 수 있음
-
KMS 키에서 가져온 키 구성 요소를 삭제하여 즉시 KMS 키를 사용할 수 없게 만들 수 있습니다. 또한 키 구성 요소를 KMS 키로 가져올 때 키의 만료 여부를 결정하고 만료 시간을 설정할 수 있습니다. 만료 시간이 되면가 AWS KMS 키 구성 요소를 삭제합니다. 키 구성 요소가 없으면 어떠한 암호화 작업에도 KMS 키를 사용할 수 없습니다. 키를 복원하려면 같은 키 구성 요소를 다시 가져와야 합니다.
- 키 구성 요소를 변경할 수 없음
-
KMS 키로 키 구성 요소를 가져오면, KMS 키는 키 구성 요소와 영구적으로 연결됩니다. 동일한 키 구성 요소를 가져오되, 다른 키 구성 요소를 KMS 키로 가져올 수는 없습니다. 또한 가져온 키 구성 요소가 있ㄴ느 KMS 키에 대한 자동 키 교체를 활성화할 수 없습니다. 하지만 가져온 키 구성 요소가 있는 KMS 키를 수동 교체할 수 있습니다.
- 키 구성 요소 오리진을 변경할 수 없음
-
가져온 키 구성 요소용으로 설계된 KMS 키에는 변경할 수 없는 오리진
EXTERNAL값이 있습니다. 가져온 키 구성 요소의 KMS 키를를 포함한 다른 소스의 키 구성 요소를 사용하도록 변환할 수 없습니다 AWS KMS. 마찬가지로 AWS KMS 키 구성 요소가 있는 KMS 키를 가져온 키 구성 요소용으로 설계된 키 구성 요소로 변환할 수 없습니다. - 키 구성 요소를 내보낼 수 없음
-
가져온 키 구성 요소를 내보낼 수 없습니다.는 가져온 키 구성 요소를 어떤 형식으로든 반환할 수 AWS KMS 없습니다. 가져온 키 구성 요소의 복사본을 외부 AWS, 가급적이면 하드웨어 보안 모듈(HSM)과 같은 키 관리자에 유지 관리해야 삭제하거나 만료된 경우 키 구성 요소를 다시 가져올 수 있습니다.
- 가져온 키 구성 요소가 있는 다중 리전 키를 생성할 수 있음
-
가져온 키 구성 요소가 있는 다중 리전에는 가져온 키 구성 요소가 있는 KMS 키의 특징을 가지며, AWS 리전간에 상호 운용이 가능합니다. 가져온 키 구성 요소가 있는 다중 리전 키를 생성하려면 동일한 키 구성 요소를 기본 KMS 키와 각 복제본 키로 가져와야 합니다.
- 비대칭 키 및 HMAC 키는 이동 가능하며 상호 운용이 가능함
-
외부에서 비대칭 키 구성 요소와 HMAC 키 구성 요소를 사용하여 가져온 동일한 키 구성 요소와 AWS KMS 키와 상호 작용 AWS 할 수 있습니다.
알고리즘에 사용되는 KMS 키에 불가피하게 바인딩되는 대칭 암호 텍스트와 달리 AWS KMS 는 암호화, 서명 및 MAC 생성에 표준 HMAC 및 비대칭 형식을 AWS KMS 사용합니다. 따라서 키는 이동이 가능하며 기존 에스크로 키 시나리오를 지원합니다.
KMS 키에 키 구성 요소를 가져온 경우 외부에서 가져온 키 구성 요소를 사용하여 다음 작업을 AWS 수행할 수 있습니다.
-
HMAC 키 - 가져온 키 구성 요소가 있는 HMAC KMS 키로 생성된 HMAC 태그를 확인할 수 있습니다. 가져온 키 구성 요소와 함께 HMAC KMS 키를 사용하여 외부의 키 구성 요소에서 생성된 HMAC 태그를 확인할 수도 있습니다 AWS.
-
비대칭 암호화 키 - 외부에서 프라이빗 비대칭 암호화 키를 사용하여 KMS 키로 암호화된 사이퍼텍스트를 해당 퍼블릭 키로 AWS 복호화할 수 있습니다. 비대칭 KMS 키를 사용하여 외부에서 생성된 비대칭 암호 텍스트를 해독할 수도 있습니다 AWS.
-
비대칭 서명 키 - 가져온 키 구성 요소와 함께 비대칭 서명 KMS 키를 사용하여 외부의 프라이빗 서명 키에서 생성된 디지털 서명을 확인할 수 있습니다 AWS. 외부에서 비대칭 퍼블릭 서명 키를 사용하여 비대칭 KMS 키로 생성된 서명을 AWS 확인할 수도 있습니다.
-
비대칭 키 계약 키 - 가져온 키 구성 요소와 함께 비대칭 키 계약 KMS 키를 사용하여 외부 피어와 공유 보안 암호를 도출할 수 있습니다 AWS.
동일한 키 구성 요소를 동일한 AWS 리전의 다른 KMS 키로 가져오는 경우 이러한 키도 상호 운용할 수 있습니다. 서로 다른에서 상호 운용 가능한 KMS 키를 생성하려면 가져온 키 구성 요소가 있는 다중 리전 키를 AWS 리전생성합니다.
-
- 대칭 암호화 키는 이동하거나 상호 운용할 수 없음
-
에서 AWS KMS 생성하는 대칭 사이퍼텍스트는 이동하거나 상호 운용할 수 없습니다.는 이동성에 필요한 대칭 사이퍼텍스트 형식을 게시하지 AWS KMS 않으며, 형식은 예고 없이 변경될 수 있습니다.
-
AWS KMS 는 가져온 키 구성 요소를 사용 AWS하더라도 외부에서 암호화하는 대칭 암호 텍스트를 해독할 수 없습니다.
-
AWS KMS 는 가져온 키 구성 요소가 있는 KMS 키로 암호화 AWS KMS되었더라도 외부의 AWS KMS 대칭 암호 텍스트 복호화를 지원하지 않습니다.
-
가져온 키 구성 요소가 동일한 KMS 키는 상호 운용이 불가능합니다. 각 KMS 키에 고유한 사이퍼텍스트를 AWS KMS 생성하는 대칭 사이퍼텍스트입니다. 이 사이퍼텍스트 형식은 데이터를 암호화한 KMS 키만 해독할 수 있도록 보장합니다.
또한 AWS Encryption SDK 또는 Amazon S3 클라이언트 측 암호화와 같은 AWS 도구를 사용하여 AWS KMS 대칭 암호 텍스트를 해독할 수 없습니다.
따라서 가져온 키 구성 요소가 있는 키를 사용하여 키 구성 요소에 조건부로 액세스할 수 있는 권한이 있는 타사가 외부에서 특정 암호 텍스트를 해독할 수 있는 키 에스크로 배열을 지원할 수 없습니다 AWS KMS. 키 에스크로를 지원하려면 AWS Encryption SDK를 사용하여 AWS KMS와 독립적인 키로 메시지를 암호화합니다.
-
- 가용성과 지속성에 대한 책임은 고객에게 있습니다.
-
AWS KMS 는 가져온 키 구성 요소를 고가용성으로 유지하도록 설계되었습니다. 그러나 AWS KMS 는 가져온 키 구성 요소의 내구성을가 AWS KMS 생성하는 키 구성 요소와 동일한 수준으로 유지하지 않습니다. 세부 정보는 가져온 키 구성 요소 보호을 참조하세요.
