AWS CloudHSM 키 스토어 - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS CloudHSM 키 스토어

AWS CloudHSM 키 스토어는 AWS CloudHSM 클러스터를 기반으로 하는 사용자 지정 키 스토어입니다. 사용자 지정 키 스토어에서 AWS KMS 생성하면 소유하고 관리하는 AWS KMS key AWS CloudHSM 클러스터에서 추출할 수 없는 KMS 키용 키 구성 요소를 생성하여 저장합니다. 사용자 지정 키 스토어에서 KMS 키를 사용할 때 클러스터의 HSM에서 암호화 작업이 수행됩니다. 이 기능은 클러스터의 AWS KMS 편리함과 광범위한 통합을 사용자의 AWS CloudHSM 클러스터에 대한 추가 제어 기능과 결합합니다. AWS 계정

AWS KMS 사용자 지정 키 저장소를 생성, 사용 및 관리하기 위한 전체 콘솔 및 API 지원을 제공합니다. KMS 키를 사용하는 것과 동일한 방식으로 사용자 지정 키 스토어에서 KMS 키를 사용할 수 있습니다. 예를 들어 KMS 키를 사용해 데이터 키를 생성하고 데이터를 암호화할 수 있습니다. 고객 관리 키를 지원하는 AWS 서비스와 함께 사용자 지정 키 스토어의 KMS 키를 사용할 수도 있습니다.

사용자 지정 키 스토어가 필요할까요?

대부분의 사용자는 FIPS 140-2 인증 암호화 모듈로 보호되는 기본 AWS KMS 키 스토어가 보안 요구 사항을 충족합니다. 유지 관리를 책임지는 계층을 추가하거나 추가 서비스에 의존할 필요가 없습니다.

하지만 조직이 다음 요구 사항을 가지고 있는 경우에는 사용자 지정 키 스토어를 생성하는 방법을 고려할 수 있습니다.

  • 단일 테넌트 HSM 또는 직접 제어할 수 있는 HSM에서 명시적으로 보호해야 하는 키가 있습니다.

  • 에서 키 자료를 즉시 제거할 수 있는 기능이 필요합니다. AWS KMS

  • 또는과 독립적으로 모든 키 사용을 감사할 수 있어야 AWS CloudTrail합니다. AWS KMS

사용자 지정 키 스토어는 어떻게 작동합니까?

각 사용자 지정 키 스토어는 내 AWS CloudHSM 클러스터와 연결되어 있습니다 AWS 계정. 사용자 지정 키 스토어를 클러스터에 연결하면 연결을 지원하는 네트워크 인프라가 AWS KMS 생성됩니다. 그런 다음 클러스터의 전용 암호화 사용자의 자격 증명을 사용하여 클러스터의 키 AWS CloudHSM 클라이언트에 로그인합니다.

에서 사용자 지정 키 저장소를 생성 AWS KMS 및 관리하고 에서 HSM 클러스터를 생성 및 관리합니다. AWS CloudHSM AWS KMS 사용자 지정 키 스토어에서 생성하면 AWS KMS keys 에서 KMS 키를 보고 관리할 수 있습니다. AWS KMS하지만 클러스터의 다른 키와 AWS CloudHSM마찬가지로 에서도 키 구성 요소를 보고 관리할 수 있습니다.

사용자 지정 키 스토어에서 KMS 키 관리

사용자 지정 키 스토어에서 생성한 AWS KMS 키 자료를 사용하여 대칭 암호화 KMS 키를 생성할 수 있습니다. 그런 다음 키 스토어의 KMS 키에 사용하는 것과 동일한 기술을 사용하여 사용자 지정 키 스토어의 KMS 키를 보고 관리합니다. AWS KMS IAM 및 키 정책을 통해 액세스를 제어하고 태그 및 별칭을 생성하며 KMS 키를 활성화 및 비활성화하고 키 삭제를 예약할 수 있습니다. KMS 키를 암호화 작업에 사용하고 KMS 키를 통합되는 AWS 서비스와 함께 사용할 수 있습니다. AWS KMS

또한 HSM 생성 및 삭제, 백업 관리 등 AWS CloudHSM 클러스터를 완벽하게 제어할 수 있습니다. AWS CloudHSM 클라이언트 및 지원되는 소프트웨어 라이브러리를 사용하여 KMS 키의 키 자료를 보고, 감사하고, 관리할 수 있습니다. 사용자 지정 키 스토어의 연결이 끊어지면 액세스할 AWS KMS 수 없으며 사용자는 사용자 지정 키 스토어의 KMS 키를 암호화 작업에 사용할 수 없습니다. 이러한 추가적인 제어 계층 덕분에 사용자 지정 키 스토어는 이를 필요로 하는 조직에게 강력한 솔루션이 될 수 있습니다.

어디에서 시작합니까?

AWS CloudHSM 키 스토어를 생성하고 관리하려면 및 기능을 사용합니다. AWS KMS AWS CloudHSM

  1. 시작해 보세요 AWS CloudHSM. 활성 AWS CloudHSM 클러스터를 생성하거나 기존 클러스터를 선택합니다. 클러스터는 서로 다른 가용 영역에 최소 2개의 활성 HSM을 가지고 있어야 합니다. 그런 다음 해당 클러스터에 AWS KMS에 대한 전용 암호화 사용자(CU) 계정을 만듭니다.

  2. 에서 AWS KMS선택한 AWS CloudHSM 클러스터와 연결된 사용자 지정 키 저장소를 생성합니다. AWS KMS 사용자 지정 키 스토어를 만들고, 보고, 편집하고, 삭제할 수 있는 완전한 관리 인터페이스를 제공합니다.

  3. 사용자 지정 키 스토어를 사용할 준비가 되면 관련 AWS CloudHSM 클러스터에 연결하세요. AWS KMS 연결을 지원하는 데 필요한 네트워크 인프라를 생성합니다. 그런 다음, 클러스터에서 키 구성 요소를 생성 및 관리할 수 있도록 전용 CU(Crypto User) 계정 자격 증명을 사용해 클러스터에 로그인합니다.

  4. 이제 사용자 지정 키 스토어에서 대칭 암호화 KMS 키를 생성할 수 있습니다. KMS 키를 생성할 때 사용자 지정 키 스토어를 지정만 하면 됩니다.

어떤 지점에서 막히면 사용자 지정 키 스토어 문제 해결 주제에서 도움말을 참조할 수 있습니다. 문제가 해결되지 않은 경우 이 가이드의 각 페이지 하단에 있는 피드백 링크를 사용하거나 AWS Key Management Service 토론 포럼(Discussion Forum)에 질문을 게시합니다.

할당량

AWS KMS 연결 상태에 관계없이 키 저장소와 외부AWS CloudHSM키 저장소를 포함하여 각 AWS 계정 및 지역에 최대 10개의 사용자 지정 키 저장소를 허용합니다. 또한 키 스토어의 KMS 키 사용에 대한 AWS KMS 요청 할당량이 있습니다. AWS CloudHSM

요금

사용자 지정 키 스토어의 AWS KMS 사용자 지정 키 스토어 및 고객 관리 키 비용에 대한 자세한 내용은 요금을 참조하십시오.AWS Key Management Service AWS CloudHSM 클러스터 및 HSM 비용에 대한 자세한 내용은 AWS CloudHSM 요금을 참조하십시오.

리전

AWS KMS 아시아 태평양 (멜버른), 중국 (베이징), 중국 (닝샤), 유럽 (스페인) 을 제외하고 지원되는 모든 AWS 리전 지역의 AWS CloudHSM AWS KMS 주요 스토어를 지원합니다.

지원되지 않는 기능

AWS KMS 사용자 지정 키 스토어에서는 다음 기능을 지원하지 않습니다.

주제