가져온 키 구성 요소에 대한 특별 고려 사항 - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

가져온 키 구성 요소에 대한 특별 고려 사항

키 구성 요소를 로 가져오기 전에 가져온 키 구성 요소의 다음 특성을 이해해야 AWS KMS합니다.

키 구성 요소를 생성합니다.

보안 요구 사항에 부합하는 임의 소스를 이용해 키 구성 요소를 생성해야 합니다.

키 구성 요소를 삭제할 수 있음

KMS 키에서 가져온 키 구성 요소를 삭제하여 즉시 KMS 키를 사용할 수 없게 할 수 있습니다. 또한 키 구성 요소를 KMS 키로 가져올 때 키 만료 여부를 확인하고 만료 시간 을 설정할 수 있습니다. 만료 시간이 되면 는 AWS KMS 키 구성 요소 를 삭제합니다. 키 구성 요소가 없으면 KMS 키를 암호화 작업에 사용할 수 없습니다. 키를 복원하려면 같은 키 구성 요소를 다시 가져와야 합니다.

키 구성 요소를 변경할 수 없음

키 구성 요소를 KMS 키로 가져오면 KMS 키가 해당 키 구성 요소와 영구적으로 연결됩니다. 동일한 키 구성 요소 를 다시 가져올 수 있지만 다른 키 구성 요소를 해당 KMS 키로 가져올 수는 없습니다. 또한 가져온 키 구성 요소가 있는 키에 대해 자동 키 교체를 활성화할 수 없습니다. KMS 그러나 가져온 KMS 키 구성 요소를 사용하여 키를 수동으로 교체할 수 있습니다.

키 구성 요소 오리진을 변경할 수 없음

KMS 가져온 키 구성 요소를 위해 설계된 키의 리진 값은 변경할 수 EXTERNAL 없습니다. 가져온 키 구성 요소의 KMS 키를 변환하여 를 포함한 다른 소스의 키 구성 요소를 사용할 수 없습니다 AWS KMS. 마찬가지로 AWS KMS 키 구성 요소가 있는 KMS 키를 가져온 키 구성 요소용으로 설계된 키로 변환할 수 없습니다.

키 구성 요소를 내보낼 수 없음

가져온 키 구성 요소는 내보낼 수 없습니다. AWS KMS 는 가져온 키 구성 요소를 어떤 형식으로든 반환할 수 없습니다. 가져온 키 구성 요소의 사본을 외부 AWS, 가급적이면 하드웨어 보안 모듈(HSM)과 같은 키 관리자에 보관해야 삭제하거나 만료되는 경우 키 구성 요소를 다시 가져올 수 있습니다.

가져온 키 구성 요소가 있는 다중 리전 키를 생성할 수 있음

가져온 키 구성 요소가 있는 다중 리전에는 가져온 KMS 키 구성 요소가 있는 키의 기능이 있으며 간에 상호 운용할 수 있습니다 AWS 리전. 가져온 키 구성 요소를 사용하여 다중 리전 키를 생성하려면 동일한 키 구성 요소를 기본 KMS 키와 각 복제본 키로 가져와야 합니다.

비대칭 키 및 HMAC 키는 이동 가능하며 상호 운용 가능

외부에서 비대칭 키 구성 요소와 HMAC 키 구성 요소를 사용하여 가져온 키 구성 요소와 AWS KMS 키 간에 AWS 상호 운용할 수 있습니다.

알고리즘에 사용되는 KMS 키에 불가피하게 바인딩되는 AWS KMS 대칭 암호 텍스트와 달리 는 암호화, 서명 및 MAC 생성에 표준 HMAC 및 비대칭 형식을 AWS KMS 사용합니다. 따라서 키는 이동이 가능하며 기존 에스크로 키 시나리오를 지원합니다.

KMS 키에 키 구성 요소를 가져온 경우 외부에서 가져온 키 구성 요소를 사용하여 다음 작업을 AWS 수행할 수 있습니다.

  • HMAC 키 - 가져온 HMAC KMS 키 구성 요소를 사용하여 키에서 생성된 HMAC 태그를 확인할 수 있습니다. 가져온 HMAC KMS 키 구성 요소와 함께 키를 사용하여 외부의 키 구성 요소에서 생성된 HMAC 태그를 확인할 수도 있습니다 AWS.

  • 비대칭 암호화 키 - 외부에서 프라이빗 비대칭 암호화 키를 사용하여 KMS 키로 암호화된 암호 텍스트를 해당 퍼블릭 키로 AWS 해독할 수 있습니다. 비대칭 KMS 키를 사용하여 외부에서 생성된 비대칭 암호 텍스트를 해독할 수도 있습니다 AWS.

  • 비대칭 서명 키 - 가져온 KMS 키 구성 요소와 함께 비대칭 서명 키를 사용하여 외부의 프라이빗 서명 키에서 생성된 디지털 서명을 확인할 수 있습니다 AWS. 외부에서 비대칭 퍼블릭 서명 키를 사용하여 비대칭 KMS 키로 생성된 서명을 AWS 확인할 수도 있습니다.

  • 비대칭 키 계약 키 - 가져온 키 구성 요소와 함께 비대칭 키 계약 KMS 키를 사용하여 외부 피어와 공유 암호를 도출할 수 있습니다 AWS.

동일한 키 구성 요소를 동일한 의 다른 KMS 키로 가져오는 경우 AWS 리전해당 키도 상호 운용 가능합니다. 서로 다른 에서 상호 운용 가능한 KMS 키를 생성하려면 가져온 키 구성 요소를 사용하여 다중 리전 키를 AWS 리전생성합니다.

대칭 암호화 키는 이동하거나 상호 운용할 수 없음

에서 AWS KMS 생성하는 대칭 암호 텍스트는 이동하거나 상호 운용할 수 없습니다. 는 이동성에 필요한 대칭 암호 텍스트 형식을 게시 AWS KMS 하지 않으며, 형식은 예고 없이 변경될 수 있습니다.

  • AWS KMS 는 가져온 키 구성 요소를 사용 AWS하더라도 외부에서 암호화하는 대칭 암호 텍스트를 복호화할 수 없습니다.

  • AWS KMS 는 암호 텍스트가 가져온 키 구성 요소가 있는 KMS 키로 암호화 AWS KMS되어 있더라도 외부의 AWS KMS 대칭 암호 텍스트 복호화를 지원하지 않습니다.

  • KMS 가져온 키 구성 요소가 동일한 키는 상호 운용할 수 없습니다. 각 KMS 키에 고유한 암호 텍스트를 AWS KMS 생성하는 대칭 암호 텍스트입니다. 이 암호 텍스트 형식은 암호화된 데이터가 복호화할 수 있는 KMS 키만 보장해 줍니다.

또한 AWS Encryption SDK 또는 Amazon S3 클라이언트 측 암호화와 같은 AWS 도구를 사용하여 AWS KMS 대칭 암호 텍스트를 해독할 수 없습니다.

따라서 키 구성 요소에 조건부로 액세스할 수 있는 권한이 있는 타사가 외부에서 특정 암호 텍스트를 복호화할 수 있는 키 에스크로 배열을 지원하기 위해 가져온 키 구성 요소가 있는 키를 사용할 수 없습니다 AWS KMS. 키 에스크로를 지원하려면 AWS Encryption SDK를 사용하여 AWS KMS와 독립적인 키로 메시지를 암호화합니다.

가용성과 지속성에 대한 책임은 고객에게 있습니다.

AWS KMS 는 가져온 키 구성 요소를 고가용성으로 유지하도록 설계되었습니다. 하지만 AWS KMS 는 가져온 키 구성 요소의 내구성을 가 AWS KMS 생성하는 키 구성 요소와 동일한 수준으로 유지하지 않습니다. 세부 정보는 가져온 키 구성 요소 보호을 참조하세요.