기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

키 저장소

키 저장소는 암호화 키를 저장하고 사용하기에 안전한 장소입니다. 의 기본 키 스토어는 저장하는 키를 생성하고 관리하는 방법 AWS KMS 도 지원합니다. 기본적으로 에서 AWS KMS keys 생성하는 의 암호화 키 구성 요소는 에서 생성되며 연방 정보 처리 표준(HSMs) 140 암호화 모듈 검증 프로그램() 140-2 수준 3검증된 암호화 모듈인 하드웨어 보안 모듈()에 의해 보호 AWS KMS 됩니다. NIST FIPSFIPS KMS 키의 키 구성 요소는 암호화HSMs되지 않은 상태로 두지 않습니다.

AWS KMS 는 키를 보호하기 위해 여러 유형의 키 스토어를 지원합니다. 를 사용하여 AWS KMS 암호화 키를 생성하고 관리할 때의 구성 요소입니다. 에서 제공하는 모든 키 스토어 옵션은 보안 수준 3의 FIPS 140에 따라 AWS KMS 지속적으로 검증되며 AWS 운영자를 포함한 모든 사용자가 권한 없이 일반 텍스트 키에 액세스하거나 사용하지 못하도록 설계되었습니다.

AWS KMS 표준 키 스토어

기본적으로 KMS 키는 표준 를 사용하여 생성됩니다 AWS KMS HSM. 이 HSM 유형은 다중 테넌트 플릿으로 생각할 수 HSMs 있으며, 이를 통해 가장 확장 가능하고 비용이 저렴하며 가장 쉽게 관리할 수 있습니다. 서비스가 사용자를 대신하여 데이터를 암호화할 수 AWS 서비스 있도록 하나 이상의 내에서 사용할 KMS 키를 생성하는 데 관심이 있는 경우 대칭 키를 생성합니다. 자체 애플리케이션 설계에 KMS 키를 사용하는 경우 대칭 암호화 키, 비대칭 키 또는 HMAC 키를 생성하도록 선택할 수 있습니다.

표준 키 스토어 옵션에서 는 키를 AWS KMS 생성한 다음 서비스가 내부적으로 관리하는 키로 암호화합니다. 그런 다음, 키의 암호화된 버전의 여러 사본이 내구성을 위해 설계된 시스템에 저장됩니다. 표준 키 스토어 유형에서 키 구성 요소를 생성하고 보호하면 키 스토어의 운영 부담과 비용을 최소화 AWS KMS 하면서 의 확장성, 가용성 및 내구성을 최대한 활용할 수 있습니다 AWS .

AWS KMS 가져온 키 구성 요소가 있는 표준 키 스토어

지정된 키의 유일한 복사본을 생성하고 저장 AWS KMS 하도록 요청하는 대신 키 구성 요소를 로 가져오도록 선택하여 고유한 256비트 대칭 암호화 키 RSA 또는 타원 곡선(ECC) 키 또는 해시 기반 메시지 인증 코드(HMAC) 키를 AWS KMS생성하고 KMS 키 식별자()에 적용할 수 있습니다keyId. 이를 자체 키 가져오기()라고도 합니다BYOK. 로컬 키 관리 시스템에서 가져온 키 구성 요소는 에서 발급한 퍼블릭 키 AWS KMS, 지원되는 암호화 래핑 알고리즘 및 에서 제공하는 시간 기반 가져오기 토큰을 사용하여 보호해야 합니다 AWS KMS. 이 프로세스는 암호화된 가져오기 키HSM가 환경을 떠난 후에만 에서 복호화 AWS KMS 할 수 있는지 확인합니다.

가져온 키 구성 요소는 키를 생성하는 시스템 관련 특정 요구 사항이 있거나 외부에서 키 사본을 백업 AWS 으로 사용하려는 경우에 유용할 수 있습니다. 가져온 키 구성 요소의 전체 가용성 및 내구성은 사용자의 책임입니다. AWS KMS 에는 가져온 키의 복사본이 있으며 필요한 동안 가용성이 높게 유지되지만 가져온 키는 삭제를 API 위한 특별한 기능을 제공합니다 DeleteImportedKeyMaterial. 이렇게 API 하면 키를 복구 AWS 할 수 있는 옵션 AWS KMS 없이 가져온 키 구성 요소의 모든 복사본이 즉시 삭제됩니다. 또한 가져온 키에 만료 시간을 설정할 수 있으며, 만료 시간 후에는 키를 사용할 수 없습니다. 에서 키를 다시 유용하게 사용하려면 키 구성 요소를 다시 가져와 동일한 에 할당 AWS KMS해야 합니다keyId. 가져온 키에 대한 이 삭제 작업은 사용자를 대신하여 AWS KMS 생성 및 저장되는 표준 키와 다릅니다. 표준 사례에서, 키 삭제 프로세스에는 삭제가 예약된 키가 처음으로 사용되지 않도록 차단되는 필수 대기 기간이 있습니다. 이 작업을 사용하면 데이터에 액세스하는 데 해당 키가 필요할 수 있는 애플리케이션 또는 AWS 서비스의 로그에서 액세스 거부 오류를 볼 수 있습니다. 이러한 액세스 요청이 표시되면 예약된 삭제를 취소하고 키를 다시 활성화하도록 선택할 수 있습니다. 구성 가능한 대기 기간(7~30일)이 지나면 만 실제로 키 구성 요소, keyID 및 키와 연결된 모든 메타데이터를 KMS 삭제합니다. 가용성 및 내구성에 대한 자세한 내용은 AWS KMS 개발자 안내서의 가져온 키 구성 요소 보호를 참조하세요.

가져온 키 구성 요소에는 유의해야 할 몇 가지 추가 제한 사항이 있습니다. AWS KMS 는 새로운 키 구성 요소를 생성할 수 없으므로 가져온 키의 자동 교체를 구성할 수 없습니다. 효과적인 교체를 위해 새 로 새 KMS 키를 생성한 keyId다음 새 키 구성 요소를 가져와야 합니다. 또한 가져온 대칭 키 AWS KMS 로 에서 생성된 암호 텍스트는 외부에서 키의 로컬 복사본을 사용하여 쉽게 복호화할 수 없습니다 AWS. 이는 에서 사용하는 인증된 암호화 형식이 암호 텍스트에 추가 메타데이터를 AWS KMS 추가하여 복호화 작업 중에 암호 텍스트가 이전 암호화 작업의 예상 KMS 키로 생성되었다는 보장을 제공하기 때문입니다. 대부분의 외부 암호화 시스템은 원시 사이퍼텍스트에 액세스하여 대칭 키의 사본을 사용할 수 있도록 이 메타데이터를 구문 분석하는 방법을 이해하지 못합니다. 가져온 비대칭 키(예: RSA 또는 ECC)로 생성된 암호 텍스트는 암호 텍스트에 가 AWS KMS 추가한 추가 메타데이터가 없기 때문에 키의 일치하는(공개 또는 비공개) 부분 AWS KMS 과 함께 외부에서 사용할 수 있습니다.

AWS KMS 사용자 지정 키 스토어

그러나 를 더 잘 제어해야 하는 경우 사용자 지정 키 스토어를 생성할 HSMs수 있습니다.

사용자 지정 키 스토어는 외부의 키 관리자가 AWS KMS 지원하는 내의 키 스토어로 AWS KMS, 사용자가 소유하고 관리합니다. 사용자 지정 키 스토어는 의 편리하고 포괄적인 키 관리 인터페이스를 키 구성 요소 및 암호화 작업을 소유하고 제어하는 AWS KMS 기능과 결합합니다. 사용자 지정 KMS 키 스토어에서 키를 사용하면 키 관리자가 암호화 키를 사용하여 암호화 작업을 수행합니다. 따라서 암호화 키의 가용성 및 내구성과 의 작업에 대한 책임은 사용자에게 있습니다HSMs.

를 소유하면 표준 KMS 키 스토어와 같은 다중 테넌트 웹 서비스가 암호화 키를 보관하도록 아직 허용하지 않는 특정 규제 요구 사항을 충족하는 데 유용할 HSMs 수 있습니다. 사용자 지정 키 스토어는 AWS관리형 를 사용하는 KMS 키 스토어보다 안전하지는 HSMs않지만, 관리 및 비용에 미치는 영향은 다릅니다(이상). 따라서 암호화 키의 가용성 및 내구성과 의 작업에 대한 책임은 더 커집니다HSMs. 표준 키 스토어를 와 함께 AWS KMS HSMs 사용하는지 또는 사용자 지정 키 스토어를 사용하는지 여부에 관계없이, 이 서비스는 AWS 직원을 포함하여 누구도 권한 없이 일반 텍스트 키를 검색하거나 사용할 수 없도록 설계되었습니다. 는 두 가지 유형의 사용자 지정 키 스토어를 AWS KMS 지원합니다.

지원되지 않는 기능

AWS KMS 는 사용자 지정 키 스토어에서 다음 기능을 지원하지 않습니다.

AWS CloudHSM 키 스토어

AWS CloudHSM 키 스토어에서 KMS 키를 생성할 수 있습니다. 여기서 루트 사용자 키는 소유 및 관리하는 AWS CloudHSM 클러스터에서 생성, 저장 및 사용됩니다. 일부 암호화 작업에 키를 사용 AWS KMS 하라는 요청은 작업을 수행하기 위해 AWS CloudHSM 클러스터로 전달됩니다. AWS CloudHSM 클러스터는 에서 호스팅되지만 AWS사용자가 직접 관리하고 운영하는 단일 테넌트 솔루션입니다. AWS CloudHSM 클러스터에 있는 KMS 키의 가용성과 성능은 대부분 사용자가 소유합니다. AWS CloudHSM 사용자 지정 키 스토어가 요구 사항에 적합한지 확인하려면 AWS 보안 블로그의 사용자 지정 키 스토어가 적합합니까 AWS KMS ?를 참조하세요.

외부 키 스토어

외부 키 스토어(XKS)를 AWS KMS 사용하도록 를 구성할 수 있습니다. 여기서 루트 사용자 키는 외부의 키 관리 시스템에서 생성, 저장 및 사용됩니다 AWS 클라우드. 일부 암호화 작업에 키를 사용하라는 AWS KMS 에 대한 요청은 작업을 수행하도록 외부 호스팅 시스템에 전달됩니다. 특히 요청은 네트워크의 XKS 프록시로 전달되며, 그런 다음 사용하는 암호화 시스템에 요청을 전달합니다. XKS 프록시는 누구나 통합할 수 있는 오픈 소스 사양입니다. 많은 상용 키 관리 공급업체는 XKS 프록시 사양을 지원합니다. 외부 키 저장소는 사용자 또는 일부 타사에서 호스팅하므로 사용자가 시스템 키의 모든 가용성, 내구성 및 성능을 소유하게 됩니다. 외부 키 스토어가 요구 사항에 적합한지 확인하려면AWS 뉴스 블로그의 AWS KMS 외부 키 스토어 발표(XKS)를 참조하세요.