기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
외부 키 저장소의 KMS 키
외부 키 스토어에서 KMS 키를 생성, 확인, 관리, 사용 및 삭제하도록 예약하려면 다른 KMS 키에 사용하는 것과 매우 유사한 절차를 사용합니다. 그러나 외부 키 스토어에서 KMS 키를 생성할 때는 외부 키 스토어와 외부 키를 지정합니다. 외부 키 스토어에서 KMS 키를 사용하면 외부 키 관리자가 지정된 외부 키를 사용하여 암호화 및 복호화 작업을 수행합니다.
AWS KMS는 외부 키 관리자에서 암호화 키를 생성, 확인, 업데이트 또는 삭제할 수 없습니다. AWS KMS는 외부 키 관리자 또는 외부 키에 직접 액세스하지 않습니다. 암호화 작업에 대한 모든 요청은 외부 키 스토어 프록시에 의해 조정됩니다. 외부 키 스토어에서 KMS 키를 사용하려면 KMS 키를 호스팅하는 외부 키 스토어가 외부 키 스토어 프록시에 연결되어 있어야 합니다.
- 지원되는 기능
-
이 섹션에서 설명한 절차 외에도 외부 키 스토어에서 KMS 키를 통해 다음을 수행할 수 있습니다.
-
KMS 키를 사용하거나 사용하지 않도록 설정합니다. 이러한 작업은 외부 키 관리자의 외부 키에 영향을 주지 않습니다.
-
태그를 할당하고 별칭을 생성하고 ABAC(속성 기반 액세스 제어)를 사용하여 KMS 키에 대한 액세스 권한을 부여합니다.
-
KMS 키를 이용하여 다음 암호화 작업을 수행합니다.
비대칭 데이터 키 페어를 생성하는 작업인 GenerateDataKeyPair 및 GenerateDataKeyPairWithoutPlaintext는 사용자 지정 키 스토어에서 지원되지 않습니다.
-
고객 관리형 키를 지원하고 AWS KMS와 통합되는 AWS 서비스
와 함께 KMS 키를 사용합니다.
- 지원되지 않는 기능
-
-
외부 키 스토어는 대칭 암호화 KMS 키만 지원합니다. 외부 키 스토어에서 HMAC KMS 키 또는 비대칭 KMS 키를 생성할 수 없습니다.
-
GenerateDataKeyPair와 GenerateDataKeyPairWithoutPlaintext는 외부 키 스토어의 KMS 키에서 지원되지 않습니다.
-
AWS::KMS::Key AWS CloudFormation 템플릿을 사용하여 외부 키 저장소를 생성하거나 외부 키 저장소에 KMS 키를 생성할 수 없습니다.
-
다중 리전 키는 외부 키 스토어에서 지원되지 않습니다.
-
가져온 키 구성 요소가 있는 KMS 키는 외부 키 스토어에서 지원되지 않습니다.
-
외부 키 스토어의 KMS 키에는 자동 키 교체가 지원되지 않습니다.
-
- 외부 키 저장소에서 KMS 키 사용
-
요청에서 KMS 키를 사용하는 경우 키 ID, 키 ARN, 별칭 또는 별칭 ARN으로 KMS 키를 식별합니다. 외부 키 스토어를 지정할 필요가 없습니다. 응답에는 모든 비대칭 암호화 KMS 키에서 반환된 동일한 필드가 포함되어 있습니다. 그러나 외부 키 스토어에서 KMS 키를 사용하면 외부 키 관리자가 KMS 키와 연결된 외부 키를 사용하여 암호화 및 복호화 작업을 수행합니다.
외부 키 스토어의 KMS 키로 암호화된 사이퍼텍스트가 표준 KMS 키로 암호화된 사이퍼텍스트 이상으로 안전하도록 AWS KMS는 이중 암호화를 사용합니다. 데이터는 먼저 AWS KMS 키 구성 요소를 사용하여 AWS KMS에서 암호화됩니다. 그런 다음 KMS 키의 외부 키를 사용하여 외부 키 관리자에 의해 암호화됩니다. 이중 암호화된 암호화 텍스트를 복호화하기 위해 먼저 KMS 키의 외부 키를 사용하여 외부 키 관리자에 의해 사이퍼텍스트가 복호화됩니다. 그런 다음 KMS 키의 AWS KMS 키 구성 요소를 사용하여 AWS KMS에서 복호화됩니다.
이것이 가능하려면 다음 조건이 충족되어야 합니다.
-
KMS 키의 키 상태가
Enabled여야 합니다. 키 상태를 찾으려면 AWS KMS 콘솔의 고객 관리 키에 대한 Status(상태) 필드 또는 DescribeKey 응답의KeyState필드를 확인합니다. -
KMS 키를 호스팅하는 외부 키 스토어는 외부 키 스토어 프록시에 연결되어야 합니다. 즉, 외부 키 스토어의 연결 상태가
CONNECTED여야 합니다.AWS KMS 콘솔의 External key stores(외부 키 스토어) 페이지 또는 DescribeCustomKeyStores 응답에서 연결 상태를 볼 수 있습니다. 외부 키 스토어의 연결 상태는 AWS KMS 콘솔의 KMS 키에 대한 세부 정보 페이지에도 표시됩니다. 세부 정보 페이지에서 Cryptographic configuration(암호화 구성) 탭을 선택하고 Custom key store(사용자 지정 키 스토어) 섹션의 Connection state(연결 상태) 필드를 봅니다.
연결 상태가
DISCONNECTED면 먼저 연결해야 합니다. 연결 상태가FAILED면 문제를 해결하고 외부 키 스토어를 연결 해제한 다음 연결해야 합니다. 지침은 외부 키 저장소 연결 및 연결 해제 단원을 참조하십시오. -
외부 키 스토어 프록시는 외부 키를 찾을 수 있어야 합니다.
-
외부 키가 활성화되고 암호화 및 복호화를 수행해야 합니다.
외부 키의 상태는 KMS 키 활성화 및 비활성화를 포함하여 KMS 키의 키 상태 변경과 독립적이며 영향을 받지 않습니다. 마찬가지로 외부 키를 비활성화하거나 삭제해도 KMS 키의 키 상태는 변경되지 않지만 연결된 KMS 키를 사용하는 암호화 작업은 실패합니다.
이러한 조건들이 충족되지 않으면 암호화 작업이 실패하고 AWS KMS가
KMSInvalidStateException예외를 반환합니다. 외부 키 스토어를 다시 연결하거나 외부 키 관리자 도구를 사용하여 외부 키를 재구성 또는 복구해야 할 수 있습니다. 추가적인 도움말은 외부 키 스토어 문제 해결 섹션을 참조하십시오.외부 키 스토어에서 KMS 키를 사용할 때는 각 외부 키 스토어의 KMS 키가 암호화 작업에 대해 사용자 지정 키 스토어 요청 할당량을 공유한다는 점에 유의하세요. 할당량을 초과하는 경우 AWS KMS는
ThrottlingException을 반환합니다. 사용자 지정 키 스토어 요청 할당량에 대한 자세한 내용은 사용자 지정 키 스토어 요청 할당량 섹션을 참조하세요. -
- 자세히 알아보기
-
-
외부 키 저장소에 대한 자세한 내용은 외부 키 스토어 단원을 참조하세요.
-
외부 키 저장소의 키 구성 요소에 대한 자세한 내용은 외부 키 단원을 참조하세요.
-
외부 키 저장소에서 KMS 키를 생성하려면 외부 키 저장소에서 KMS 키 생성 단원을 참조하세요.
-
외부 키 저장소에서 KMS 키를 식별하고 보려면 외부 키 저장소에서 KMS 키 식별 단원을 참조하세요.
-
외부 키 저장소에서 KMS 키를 삭제할 경우의 특별한 고려 사항에 대해 알아보려면 외부 키 저장소에서 KMS 키 삭제를 참조하세요.
-
