기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# AWS CloudHSM 키 스토어
AWS CloudHSM 키 스토어는 [AWS CloudHSM 클러스터](https://docs.aws.amazon.com/cloudhsm/latest/userguide/)가 지원하는 [사용자 지정 키 스토어](key-store-overview.md#custom-key-store-overview)입니다. 사용자 지정 키 스토어 AWS KMS key 에서를 생성하면는 사용자가 소유하고 관리하는 AWS CloudHSM 클러스터에서 KMS 키에 대한 추출할 수 없는 키 구성 요소를 AWS KMS 생성하고 저장합니다. 사용자 지정 키 스토어에서 KMS 키를 사용할 때 클러스터의 HSM에서 [암호화 작업](manage-cmk-keystore.md#use-cmk-keystore)이 수행됩니다. 이 기능은의 편의성과 광범위한 통합을의 AWS CloudHSM 클러스터에 대한 추가 제어 AWS KMS 와 결합합니다 AWS 계정.
AWS KMS 는 사용자 지정 키 스토어를 생성, 사용 및 관리하기 위한 전체 콘솔 및 API 지원을 제공합니다. KMS 키를 사용하는 것과 동일한 방식으로 사용자 지정 키 스토어에서 KMS 키를 사용할 수 있습니다. 예를 들어 KMS 키를 사용해 데이터 키를 생성하고 데이터를 암호화할 수 있습니다. 고객 관리형 키를 지원하는 AWS 서비스와 함께 사용자 지정 키 스토어의 KMS 키를 사용할 수도 있습니다.
**사용자 지정 키 스토어가 필요할까요?**
대부분의 사용자의 경우 [FIPS 140-3 검증 암호화 모듈](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884)로 보호되는 기본 AWS KMS 키 스토어는 보안 요구 사항을 충족합니다. 유지 관리를 책임지는 계층을 추가하거나 추가 서비스에 의존할 필요가 없습니다.
하지만 조직이 다음 요구 사항을 가지고 있는 경우에는 사용자 지정 키 스토어를 생성하는 방법을 고려할 수 있습니다.
+ 단일 테넌트 HSM 또는 직접 제어할 수 있는 HSM에서 명시적으로 보호해야 하는 키가 있습니다.
+ 에서 키 구성 요소를 즉시 제거할 수 있는 기능이 필요합니다 AWS KMS.
+ AWS KMS 또는와 독립적으로 키의 모든 사용을 감사할 수 있어야 합니다 AWS CloudTrail.
**사용자 지정 키 스토어는 어떻게 작동합니까?**
각 사용자 지정 키 스토어는의 AWS CloudHSM 클러스터와 연결됩니다 AWS 계정. 사용자 지정 키 스토어를 클러스터에 연결하면가 연결을 지원하는 네트워크 인프라를 AWS KMS 생성합니다. 그런 다음 클러스터에 있는 [전용 암호화 사용자의](#concept-kmsuser) 자격 증명을 사용하여 클러스터의 키 AWS CloudHSM 클라이언트에 로그인합니다.
에서 사용자 지정 키 스토어를 생성 및 관리하고에서 HSM 클러스터를 AWS KMS 생성 및 관리합니다 AWS CloudHSM. AWS KMS 사용자 지정 키 스토어 AWS KMS keys 에서를 생성할 때에서 KMS 키를 보고 관리합니다 AWS KMS. 그러나 클러스터의 다른 키에서와 마찬가지로 AWS CloudHSM에서 키 구성 요소를 확인 및 관리할 수도 있습니다.
![\[사용자 지정 키 스토어에서 KMS 키 관리\]](http://docs.aws.amazon.com/ko_kr/kms/latest/developerguide/images/kms-hsm-view.png)
사용자 지정 [키 스토어에서가 생성한 키 구성 요소를 사용하여 대칭 암호화 KMS](create-cmk-keystore.md) 키를 생성할 수 있습니다. AWS KMS 그런 다음 동일한 기법을 사용하여 키 스토어의 KMS 키에 사용하는 사용자 지정 키 AWS KMS 스토어의 KMS 키를 보고 관리합니다. IAM 및 키 정책을 통해 액세스를 제어하고 태그 및 별칭을 생성하며 KMS 키를 활성화 및 비활성화하고 키 삭제를 예약할 수 있습니다. KMS 키를 [암호화 작업에](manage-cmk-keystore.md#use-cmk-keystore) 사용하고와 통합되는 AWS 서비스와 함께 사용할 수 있습니다 AWS KMS.
또한 HSMs 생성 및 삭제, 백업 관리를 포함하여 AWS CloudHSM 클러스터를 완벽하게 제어할 수 있습니다. AWS CloudHSM 클라이언트 및 지원되는 소프트웨어 라이브러리를 사용하여 KMS 키의 키 구성 요소를 보고, 감사하고, 관리할 수 있습니다. 사용자 지정 키 스토어의 연결이 해제된 동안에는가 키 스토어에 액세스할 수 AWS KMS 없으며 사용자는 암호화 작업에 사용자 지정 키 스토어의 KMS 키를 사용할 수 없습니다. 이러한 추가적인 제어 계층 덕분에 사용자 지정 키 스토어는 이를 필요로 하는 조직에게 강력한 솔루션이 될 수 있습니다.
**어디에서 시작합니까?**
AWS CloudHSM 키 스토어를 생성하고 관리하려면 AWS KMS 및의 기능을 사용합니다 AWS CloudHSM.
1. 에서 시작합니다 AWS CloudHSM. [활성 AWS CloudHSM 클러스터](https://docs.aws.amazon.com/cloudhsm/latest/userguide/getting-started.html)를 생성하거나 기존 클러스터를 선택합니다. 클러스터는 서로 다른 가용 영역에 최소 2개의 활성 HSM을 가지고 있어야 합니다. 그런 다음 해당 클러스터에 AWS KMS에 대한 [전용 암호화 사용자(CU) 계정](#concept-kmsuser)을 만듭니다.
1. 에서 선택한 AWS CloudHSM 클러스터와 연결된 사용자 지정 키 스토어를 AWS KMS생성합니다.는 사용자 지정 키 스토어를 생성, 보기, 편집 및 삭제할 수 있는 완전한 관리 인터페이스를 AWS KMS 제공합니다. [AWS CloudHSM 키 스토어 생성](create-keystore.md)
1. 사용자 지정 키 스토어를 사용할 준비가 되면 [연결된 AWS CloudHSM 클러스터에 연결합니다](connect-keystore.md).는 연결을 지원하는 데 필요한 네트워크 인프라를 AWS KMS 생성합니다. 그런 다음, 클러스터에서 키 구성 요소를 생성 및 관리할 수 있도록 전용 CU(Crypto User) 계정 자격 증명을 사용해 클러스터에 로그인합니다.
1. 이제 [사용자 지정 키 스토어에서 대칭 암호화 KMS 키를 생성](create-cmk-keystore.md)할 수 있습니다. KMS 키를 생성할 때 사용자 지정 키 스토어를 지정만 하면 됩니다.
어떤 지점에서 막히면 [사용자 지정 키 스토어 문제 해결](fix-keystore.md) 주제에서 도움말을 참조할 수 있습니다. 문제가 해결되지 않은 경우 이 가이드의 각 페이지 하단에 있는 피드백 링크를 사용하거나 [AWS Key Management Service 토론 포럼(Discussion Forum)](https://repost.aws/tags/TAMC3vcPOPTF-rPAHZVRj1PQ/aws-key-management-service)에 질문을 게시합니다.
**할당량**
AWS KMS 는 연결 상태에 관계없이 [키 스토어와 외부 키 스토어를 모두 포함하여 각 및 리전에서 최대 10개의 사용자 지정](resource-limits.md) [키 스토어](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-external.html)를 허용합니다. AWS 계정 [AWS CloudHSM](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-cloudhsm.html) 또한 AWS KMS [AWS CloudHSM 키 스토어의 KMS 키 사용에 대한 요청 할당량이 있습니다](requests-per-second.md#rps-key-stores).
**요금**
AWS KMS 사용자 지정 키 스토어 및 사용자 지정 키 스토어의 고객 관리형 키 비용에 대한 자세한 내용은 [AWS Key Management Service 요금을](https://aws.amazon.com/kms/pricing/) 참조하세요. AWS CloudHSM 클러스터 및 HSMs 비용에 대한 자세한 내용은 [AWS CloudHSM 요금을](https://aws.amazon.com/cloudhsm/pricing/) 참조하세요.
**리전**
AWS KMS 는 아시아 태평양(멜버른), 중국(베이징), 중국(닝샤) 및 유럽(스페인)을 제외하고 AWS 리전 AWS KMS 가 지원되는 모든에서 AWS CloudHSM 키 스토어를 지원합니다.
**지원되지 않는 기능**
AWS KMS 는 사용자 지정 키 스토어에서 다음 기능을 지원하지 않습니다.
+ [비대칭 KMS 키](symmetric-asymmetric.md)
+ [HMAC KMS 키](hmac.md)
+ [가져온 키 구성 요소가 있는 KMS 키](importing-keys.md)
+ [자동 키 교체](rotate-keys.md)
+ [다중 리전 키](multi-region-keys-overview.md)
## AWS CloudHSM 키 스토어 개념
이 주제에서는 AWS CloudHSM 키 스토어에 사용되는 몇 가지 용어와 개념을 설명합니다.
### AWS CloudHSM 키 스토어
*AWS CloudHSM 키 스토어*는 소유하고 관리하는 클러스터와 AWS CloudHSM 연결된 [사용자 지정 키 스토어](key-store-overview.md#custom-key-store-overview)입니다. AWS CloudHSM 클러스터는 [FIPS 140-2 또는 FIPS 140-3Level 3](https://docs.aws.amazon.com/cloudhsm/latest/userguide/compliance.html)에서 인증된 하드웨어 보안 모듈(HSMs)의 지원을 받습니다.
AWS CloudHSM 키 스토어에서 KMS 키를 생성하면는 연결된 AWS CloudHSM 클러스터에서 내보내기 불가능한 256비트 영구 고급 암호화 표준(AES) 대칭 키를 AWS KMS 생성합니다. 이 키 구성 요소는 HSM을 암호화되지 않은 상태로 두지 않습니다. AWS CloudHSM 키 스토어에서 KMS 키를 사용하는 경우 암호화 작업은 클러스터의 HSMs에서 수행됩니다.
AWS CloudHSM 키 스토어는의 편리하고 포괄적인 키 관리 인터페이스를의 AWS CloudHSM 클러스터에서 제공하는 추가 제어 AWS KMS 와 결합합니다 AWS 계정. 이 통합 기능을 사용하면 클러스터, HSMs 저장하는 HSMs을 완벽하게 제어 AWS KMS 하면서에서 KMS 키를 생성, 관리 및 사용할 수 있습니다. AWS KMS 콘솔과 APIs를 사용하여 키 스토어와 해당 KMS 키를 관리할 AWS CloudHSM 수 있습니다. AWS CloudHSM 콘솔, APIs, 클라이언트 소프트웨어 및 관련 소프트웨어 라이브러리를 사용하여 연결된 클러스터를 관리할 수도 있습니다.
AWS CloudHSM 키 스토어를 [보고 관리하고](view-keystore.md), [속성을 편집](update-keystore.md)하고, 연결된 AWS CloudHSM 클러스터에 [연결하고](connect-keystore.md) [연결을 해제](disconnect-keystore.md)할 수 있습니다. [키 스토어를 AWS CloudHSM 삭제](delete-keystore.md#delete-keystore-console)해야 하는 경우 먼저 삭제를 예약하고 유예 기간이 만료될 때까지 기다려 AWS CloudHSM 키 스토어에서 KMS 키를 삭제해야 합니다. 키 스토어를 AWS CloudHSM 삭제하면에서 리소스가 제거 AWS KMS되지만 클러스터에는 AWS CloudHSM 영향을 주지 않습니다.
### AWS CloudHSM 클러스터
모든 AWS CloudHSM 키 스토어는 하나의 *AWS CloudHSM 클러스터*와 연결됩니다. AWS CloudHSM 키 스토어 AWS KMS key 에서를 생성하면 AWS KMS 는 연결된 클러스터에 키 구성 요소를 생성합니다. AWS CloudHSM 키 스토어에서 KMS 키를 사용할 때 연결 클러스터에서 암호화 작업이 수행됩니다.
각 AWS CloudHSM 클러스터는 하나의 AWS CloudHSM 키 스토어에만 연결할 수 있습니다. 선택한 클러스터는 다른 AWS CloudHSM 키 스토어와 연결하거나 다른 AWS CloudHSM 키 스토어와 연결된 클러스터와 백업 기록을 공유할 수 없습니다. 클러스터는 초기화되고 활성 상태여야 하며 키 스토어와 동일한 AWS 계정 및 리전 AWS CloudHSM 에 있어야 합니다. 새 클러스터를 생성하거나 기존 클러스터를 사용할 수 AWS KMS 있습니다. 클러스터를 독점적으로 사용할 필요가 없습니다. AWS CloudHSM 키 스토어에서 KMS 키를 생성하려면 연결된 클러스터에 활성 HSMs이 두 개 이상 포함되어야 합니다. 다른 모든 작업에서는 오직 하나의 HSM만 필요합니다.
AWS CloudHSM 키 스토어를 생성할 때 AWS CloudHSM 클러스터를 지정하면 클러스터를 변경할 수 없습니다. 한편 다른 클러스터와 백업 기록을 공유하는 모든 클러스터를 대체할 수 있습니다. 이렇게 하면 필요 시 클러스터를 삭제하고 이를 백업 중 하나에서 생성된 클러스터로 바꿀 수 있습니다. 사용자는 사용자 및 키를 관리하고 HSM을 생성 및 삭제하며 백업을 관리할 수 있도록 연결 AWS CloudHSM 클러스터에 대한 완벽한 제어권을 보유합니다.
AWS CloudHSM 키 스토어를 사용할 준비가 되면 연결된 AWS CloudHSM 클러스터에 연결합니다. 언제든지 사용자 지정 키 스토어를 연결 및 연결 해제할 수 있습니다. 사용자 지정 키 스토어가 연결되면 KMS 키를 생성해 사용할 수 있습니다. 연결이 해제되면 AWS CloudHSM 키 스토어와 해당 KMS 키를 보고 관리할 수 있습니다. 그러나 새 KMS 키를 생성하거나 AWS CloudHSM 키 스토어의 KMS 키를 암호화 작업에 사용할 수 없습니다.
### `kmsuser` 암호화 사용자(CU)
사용자를 대신하여 연결된 AWS CloudHSM 클러스터에서 키 구성 요소를 생성하고 관리하기 위해는 라는 클러스터에서 전용 *AWS CloudHSM CU([Crypto User](https://docs.aws.amazon.com/cloudhsm/latest/userguide/hsm-users.html#crypto-user))*를 AWS KMS 사용합니다`kmsuser`. `kmsuser` CU는 클러스터의 모든 HSM에 자동으로 동기화되고 클러스터 백업에 저장되는 표준 CU 계정입니다.
AWS CloudHSM 키 스토어를 생성하기 전에 CloudHSM CLI에서 [https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-user-cloudhsm-cli.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-user-cloudhsm-cli.html) 명령을 사용하여 AWS CloudHSM 클러스터에 [`kmsuser` CU 계정을](create-keystore.md#before-keystore) 생성합니다. 그런 다음 [AWS CloudHSM 키 스토어를 생성할](create-keystore.md) 때 `kmsuser` 계정 암호를 제공합니다 AWS KMS. [사용자 지정 키 스토어를 연결](connect-keystore.md)하면 `kmsuser`는 CU로 클러스터에 AWS KMS 로그인하고 암호를 교체합니다.는 `kmsuser` 암호를 안전하게 저장하기 전에 AWS KMS 암호화합니다. 암호가 교체되면 새 암호가 암호화되어 동일한 방식으로 저장됩니다.
AWS KMS 는 AWS CloudHSM 키 스토어가 연결되어 있는 `kmsuser` 한 로그인 상태로 유지됩니다. 이러한 CU 계정을 다른 목적으로 사용해서는 안 됩니다. 그러나 `kmsuser` CU 계정에 대한 궁극적인 제어권은 보유할 수 있습니다. 언제든지 `kmsuser`가 소유하는 키의 [키를 찾을](find-key-material.md) 수 있습니다. 필요한 경우 [사용자 지정 키 저장소의 연결을 해제](disconnect-keystore.md)하고, `kmsuser` 암호를 변경하고, [`kmsuser`로 클러스터에 로그인](fix-keystore.md#fix-login-as-kmsuser)하고, `kmsuser`가 소유하는 키를 조회하고 관리할 수 있습니다.
`kmsuser` CU 계정 생성에 대한 지침은 [`kmsuser` CU(Crypto User) 생성](create-keystore.md#before-keystore)을 참조하세요.
### 키 스토어의 KMS AWS CloudHSM 키
AWS KMS 또는 AWS KMS API를 사용하여 AWS CloudHSM 키 스토어 AWS KMS keys 에서를 생성할 수 있습니다. KMS 키에서 사용하는 것과 동일한 기법을 사용합니다. 유일한 차이점은 AWS CloudHSM 키 스토어를 식별하고 키 구성 요소의 오리진이 AWS CloudHSM 클러스터임을 지정해야 한다는 것입니다.
[AWS CloudHSM 키 스토어에서 KMS 키를 생성](create-cmk-keystore.md)하면는에서 KMS 키를 AWS KMS 생성하고 연결된 클러스터에서 내보내기 불가능한 256비트의 영구 고급 암호화 표준(AES) 대칭 키 구성 요소를 AWS KMS 생성합니다. 암호화 작업에서 AWS KMS 키를 사용하면 AWS CloudHSM 클러스터 기반 AES 키를 사용하여 클러스터에서 작업이 수행됩니다. AWS CloudHSM 는 다양한 유형의 대칭 및 비대칭 키를 지원하지만 AWS CloudHSM 키 스토어는 AES 대칭 암호화 키만 지원합니다.
AWS KMS 콘솔의 키 스토어에서 KMS AWS CloudHSM 키를 보고 콘솔 옵션을 사용하여 사용자 지정 키 스토어 ID를 표시할 수 있습니다. [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) 작업을 사용하여 AWS CloudHSM 키 스토어 ID와 AWS CloudHSM 클러스터 ID를 찾을 수도 있습니다.
AWS CloudHSM 키 스토어의 KMS 키는의 KMS 키와 동일하게 작동합니다 AWS KMS. 권한 있는 사용자는 KMS 키를 사용 및 관리하기 위해 동일한 권한이 필요합니다. 동일한 콘솔 절차와 API 작업을 사용하여 AWS CloudHSM 키 스토어에서 KMS 키를 보고 관리합니다. KMS 키 활성화 및 비활성화, 태그 및 별칭 생성 및 사용, IAM 및 키 정책 변경 등이 여기에 포함됩니다. AWS CloudHSM 키 스토어의 KMS 키를 암호화 작업에 사용하고 고객 관리형 키 사용을 지원하는 [통합 AWS 서비스와](service-integration.md) 함께 사용할 수 있습니다. 그러나 [자동 키 교체](rotate-keys.md)를 활성화하거나 [키 구성 요소를 키 스토어의 KMS 키로 가져올](importing-keys.md) 수는 없습니다. AWS CloudHSM
또한 동일한 프로세스를 사용하여 키 스토어에서 KMS AWS CloudHSM 키 [삭제를 예약](deleting-keys.md#delete-cmk-keystore)합니다. 대기 기간이 만료되면는 KMS에서 KMS 키를 AWS KMS 삭제합니다. 그런 다음 연결된 AWS CloudHSM 클러스터에서 KMS 키의 키 구성 요소를 삭제하기 위해 최선을 다합니다. 하지만 클러스터 및 백업에서 수동으로 [불필요한 키 구성 요소를 삭제](fix-keystore.md#fix-keystore-orphaned-key)하고 싶어할 수 있습니다.