기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 의 보안 AWS Key Management Service
의 클라우드 보안 AWS 이 최우선 순위입니다. AWS 고객은 보안에 가장 민감한 조직의 요구 사항을 충족하도록 구축된 데이터 센터 및 네트워크 아키텍처의 이점을 누릴 수 있습니다.
보안은 AWS 와 사용자 간의 공동 책임입니다. [공동 책임 모델](https://aws.amazon.com/compliance/shared-responsibility-model/)은 이 사항을 클라우드의 보안 및 클라우드 내 보안으로 설명합니다.
+ **클라우드 *보안* **- AWS 는 AWS 클라우드에서 AWS 서비스를 실행하는 인프라를 보호할 책임이 있습니다. AWS 또한는 안전하게 사용할 수 있는 서비스를 제공합니다. 타사 감사자는 규정 [AWS 준수 프로그램](https://aws.amazon.com/compliance/programs/) 일환으로 보안의 효과를 정기적으로 테스트하고 확인합니다. AWS Key Management Service (AWS KMS)에 적용되는 규정 준수 프로그램에 대한 자세한 내용은 규정 준수 프로그램 [AWS 제공 범위 내 서비스규정 준수 프로그램](https://aws.amazon.com/compliance/services-in-scope/) .
+ **클라우드*의* 보안** - 사용자의 책임은 사용하는 AWS 서비스에 따라 결정됩니다. 또한 AWS KMS의 구성 및 사용 외에도 데이터의 민감도 AWS KMS keys, 회사의 요구 사항, 관련 법률 및 규정을 비롯한 기타 요소에 대한 책임은 사용자에게 있습니다.
이 설명서는를 사용할 때 공동 책임 모델을 적용하는 방법을 이해하는 데 도움이 됩니다 AWS Key Management Service. 보안 및 규정 준수 목표를 충족하도록 AWS KMS 를 구성하는 방법을 보여줍니다.
**Topics**
+ [데이터 보호](data-protection.md)
+ [ID 및 액세스 관리](security-iam.md)
+ [로깅 및 모니터링](security-logging-monitoring.md)
+ [규정 준수 확인](kms-compliance.md)
+ [복원력](disaster-recovery-resiliency.md)
+ [인프라 보안](infrastructure-security.md)
# 의 데이터 보호 AWS Key Management Service
AWS Key Management Service 는 암호화 키를 저장하고 보호하여 가용성을 높이는 동시에 강력하고 유연한 액세스 제어를 제공합니다.
**Topics**
+ [키 구성 요소 보호](#encryption-key-mgmt)
+ [데이터 암호화](#data-encryption)
+ [인터네트워크 트래픽 개인 정보 보호](#inter-network-privacy)
## 키 구성 요소 보호
기본적으로는 KMS 키의 암호화 키 구성 요소를 AWS KMS 생성하고 보호합니다. 또한는 외부에서 생성 및 보호되는 키 구성 요소에 대한 옵션을 AWS KMS 제공합니다 AWS KMS.
### 에서 생성된 키 구성 요소 보호 AWS KMS
KMS 키를 생성할 때 기본적으로는 KMS 키의 암호화 구성 요소를 AWS KMS 생성하고 보호합니다.
KMS 키의 키 구성 요소를 보호하기 위해 AWS KMS 는 [FIPS 140-3 보안 수준 3 검증](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884) 하드웨어 보안 모듈(HSMs)의 분산 플릿을 사용합니다. 각 AWS KMS HSM은의 보안 및 확장성 요구 사항을 충족하기 위해 전용 암호화 기능을 제공하도록 설계된 전용 독립 실행형 하드웨어 어플라이언스입니다 AWS KMS. (중국 리전에서를 AWS KMS 사용하는 HSMs은 [OSCCA](https://www.oscca.gov.cn/)의 인증을 받았으며 모든 관련 중국 규정을 준수하지만 FIPS 140-3 암호화 모듈 검증 프로그램에서는 검증되지 않습니다.)
KMS 키의 키 구성 요소는 HSM에서 생성될 때 기본적으로 암호화됩니다. 키 구성 요소는 HSM 휘발성 메모리 내에서만 암호화 작업에 사용하는 데 걸리는 몇 밀리초 동안만 암호 해독됩니다. 키 구성 요소가 활성 상태로 사용되지 않을 때마다 HSM 내에서 암호화되어 [내구성이 뛰어나고](https://docs.aws.amazon.com/kms/latest/cryptographic-details/durability-protection.html)(99.999999999%), 지연 시간이 짧은 영구 스토리지로 전송되어 HSM과 분리되어 격리된 상태로 유지됩니다. 일반 텍스트 키 구성 요소는 HSM [보안 경계](https://docs.aws.amazon.com/kms/latest/cryptographic-details/internal-communication-security.html#hsm-security-boundary)를 절대 벗어나지 않으며, 결코 디스크에 기록되거나 저장 매체에 지속되지 않습니다. (유일한 예외는 비밀이 아닌 비대칭 키 쌍의 퍼블릭 키입니다.)
AWS 는 모든 유형의 일반 텍스트 암호화 키 구성 요소와 사람이 상호 작용하지 않는다는 기본 보안 원칙으로를 어설션합니다 AWS 서비스. AWS 서비스 연산자를 포함하여 일반 텍스트 키 구성 요소를 보거나 액세스하거나 내보낼 수 있는 메커니즘은 없습니다. 이 원칙은 심각한 장애 및 재해 복구 이벤트 중에도 적용됩니다. 의 일반 텍스트 고객 키 구성 AWS KMS 요소는 고객 또는 대리인의 서비스에 대한 승인된 요청에 대한 응답으로만 AWS KMS FIPS 140-3 검증 HSMs 내의 암호화 작업에 사용됩니다.
[고객 관리형 키](concepts.md#customer-mgn-key)의 경우 키를 AWS 계정 생성하는는 키의 유일하고 이전할 수 없는 소유자입니다. 소유 계정은 키에 대한 액세스를 제어하는 권한 부여 정책에 대한 완전하고 독점적인 제어를 갖습니다. 의 경우 AWS 관리형 키 AWS 계정 는에 대한 요청을 승인하는 IAM 정책을 완벽하게 제어할 수 있습니다 AWS 서비스.
### 외부에서 생성된 키 구성 요소 보호 AWS KMS
AWS KMS 는에서 생성된 키 구성 요소에 대한 대안을 제공합니다 AWS KMS.
선택적 AWS KMS 기능인 [사용자 지정 키 스토어](key-store-overview.md#custom-key-store-overview)를 사용하면 외부에서 생성 및 사용되는 키 구성 요소가 지원하는 KMS 키를 생성할 수 있습니다 AWS KMS. [AWS CloudHSM 키 스토어](keystore-cloudhsm.md)의 KMS 키는 사용자가 제어하는 AWS CloudHSM 하드웨어 보안 모듈의 키로 지원됩니다. 이러한 HSM은 [FIPS 140-2 보안 수준 3 또는 FIPS 140-3 보안 수준 3](https://docs.aws.amazon.com/cloudhsm/latest/userguide/compliance.html) 인증을 받았습니다. [외부 키 스토어의 KMS 키](keystore-external.md)는 프라이빗 데이터 센터의 물리적 HSM AWS과 같이 외부에서 제어하고 관리하는 외부 키 관리자의 키로 지원됩니다.
또 다른 옵션 기능을 사용하면 KMS 키에 대한 [키 구성 요소를 가져올 수 있습니다](importing-keys.md). 가져온 키 구성 요소가 전송되는 동안 보호하려면 AWS KMS HSM에서 생성된 RSA 키 페어의 퍼블릭 키를 사용하여 키 구성 요소를 암호화 AWS KMS합니다. 가져온 키 구성 요소는 AWS KMS HSM에서 복호화되고 HSM의 대칭 키로 다시 암호화됩니다. 모든 AWS KMS 키 구성 요소와 마찬가지로 일반 텍스트로 가져온 키 구성 요소는 HSMs되지 않은 상태로 두지 않습니다. 그러나 키 구성 요소를 제공한 고객은 AWS KMS외부 키 구성 요소를 안전하게 사용하고, 지속적으로 관리 및 유지 보수할 할 책임이 있습니다.
## 데이터 암호화
의 데이터는 AWS KMS keys 및 해당 데이터가 나타내는 암호화 키 구성 요소로 AWS KMS 구성됩니다. 이 키 구성 요소는 AWS KMS 하드웨어 보안 모듈(HSM) 내에서만 일반 텍스트로 존재하며 사용 중일 때만 존재합니다. 그렇지 않으면 키 구성 요소가 암호화되어 내구성이 뛰어난 영구 스토리지에 저장됩니다.
가 KMS 키에 대해 AWS KMS 생성하는 키 구성 요소는 HSM의 AWS KMS 경계를 암호화되지 않은 상태로 두지 않습니다. HSMs AWS KMS API 작업에서는 내보내거나 전송하지 않습니다. [다중 리전 키](multi-region-keys-overview.md)의 경우 예외입니다. 여기서는 교차 리전 복제 메커니즘을 AWS KMS 사용하여 한의 HSM에서 다른의 AWS 리전 HSM으로 다중 리전 키의 키 구성 요소를 복사합니다 AWS 리전. 자세한 내용은 AWS Key Management Service 암호화 세부 정보의 [다중 리전 키에 대한 복제 프로세스를](https://docs.aws.amazon.com/kms/latest/cryptographic-details/replicate-key-details.html) 참조하세요.
**Topics**
+ [저장 시 암호화](#encryption-at-rest)
+ [전송 중 암호화](#encryption-in-transit)
### 저장 시 암호화
AWS KMS 는 [FIPS 140-3 보안 수준 3](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884) 호환 하드웨어 보안 모듈(HSMs) AWS KMS keys 에서에 대한 키 구성 요소를 생성합니다. 유일한 예외는가 KMS 키를 생성하는 데 AWS KMS 사용하는 HSMs이 모든 관련 중국 규정을 준수하지만 FIPS 140-3 암호화 모듈 검증 프로그램에 따라 검증되지 않는 중국 리전입니다. 사용하지 않을 경우 키 구성 요소는 HSM 키에 의해 암호화되어 내구성이 뛰어난 영구 스토리지에 기록됩니다. KMS 키의 키 구성 요소와 키 구성 요소를 보호하는 암호화 키는 HSM을 일반 텍스트 형식으로 남기지 않습니다.
KMS 키에 대한 키 구성 요소의 암호화 및 관리는 전적으로 AWS KMS에 의해 처리됩니다.
자세한 내용은 AWS Key Management Service 암호화 세부 정보에서 [작업을 AWS KMS keys](https://docs.aws.amazon.com/kms/latest/cryptographic-details/kms-keys.html) 참조하세요.
### 전송 중 암호화
가 KMS 키에 대해 AWS KMS 생성하는 키 구성 요소는 AWS KMS API 작업에서 내보내거나 전송하지 않습니다.는 [키 식별자](concepts.md#key-id)를 AWS KMS 사용하여 API 작업에서 KMS 키를 나타냅니다. 마찬가지로 사용자 AWS KMS [지정 키 스토어의 KMS 키에 대한 키](key-store-overview.md#custom-key-store-overview) 구성 요소는 내보낼 수 없으며 AWS KMS 또는 AWS CloudHSM API 작업으로 전송되지 않습니다.
그러나 일부 AWS KMS API 작업은 [데이터 키를](data-keys.md) 반환합니다. 또한 고객은 API 작업을 사용하여 선택한 KMS 키에 대한 [키 구성 요소를 가져옵니다](importing-keys.md).
모든 AWS KMS API 호출은 TLS(전송 계층 보안)를 사용하여 서명하고 전송해야 합니다.는 TLS 1.2 AWS KMS 를 요구하고 모든 리전에서 TLS 1.3을 권장합니다. AWS KMS 또한는 중국 리전을 제외한 모든 리전의 AWS KMS 서비스 엔드포인트에 대해 하이브리드 포스트 퀀텀 TLS를 지원합니다. AWS KMS 는의 FIPS 엔드포인트에 대해 하이브리드 포스트 퀀텀 TLS를 지원하지 않습니다 AWS GovCloud (US). AWS KMS 에 대한 호출은 또한 *완전 순방향 암호화*를 지원하는 최신 암호 제품군을 필요로 합니다. 즉, 프라이빗 키와 같은 암호가 손상되어도 세션 키가 손상되지 않습니다.
명령줄 인터페이스 또는 API를 AWS 통해에 액세스할 때 FIPS 140-3 검증 암호화 모듈이 필요한 경우 FIPS 엔드포인트를 사용합니다. 표준 AWS KMS 엔드포인트 또는 AWS KMS FIPS 엔드포인트를 사용하려면 클라이언트가 TLS 1.2 이상을 지원해야 합니다. 사용 가능한 FIPS 엔드포인트에 대한 자세한 내용은 [연방 정보 처리 표준(FIPS) 140-3](https://aws.amazon.com/compliance/fips/)을 참조하세요. AWS KMS FIPS 엔드포인트 목록은 [AWS Key Management Service 의 엔드포인트 및 할당량을 참조하세요](https://docs.aws.amazon.com/general/latest/gr/kms.html) AWS 일반 참조.
AWS KMS 서비스 호스트와 HSMs 간의 통신은 인증된 암호화 체계에서 타원 곡선 암호화(ECC) 및 고급 암호화 표준(AES)을 사용하여 보호됩니다. 자세한 내용은 AWS Key Management Service 암호화 세부 정보의 [내부 통신 보안을](https://docs.aws.amazon.com/kms/latest/cryptographic-details/internal-communication-security.html) 참조하세요.
## 인터네트워크 트래픽 개인 정보 보호
AWS KMS 는 AWS Management Console 및 암호화 작업에서 생성 및 관리하고 AWS KMS keys 사용할 수 있는 API 작업 세트를 지원합니다.
AWS KMS 는 프라이빗 네트워크에서 로의 두 가지 네트워크 연결 옵션을 지원합니다 AWS.
+ 인터넷을 통한 IPSec VPN 연결
+ [AWS Direct Connect](https://aws.amazon.com/directconnect/)- 표준 이더넷 광섬유 케이블을 통해 내부 네트워크를 Direct Connect 위치에 연결합니다.
모든 AWS KMS API 호출은 서명되어야 하며 전송 계층 보안(TLS)을 사용하여 전송되어야 합니다. 호출에는 또한 [완벽한 순방향 보안](https://en.wikipedia.org/wiki/Forward_secrecy)을 지원하는 최신 암호 제품군도 필요합니다. KMS 키의 키 구성 요소를 저장하는 하드웨어 보안 모듈(HSMs)에 대한 트래픽은 AWS 내부 네트워크를 통해 알려진 AWS KMS API 호스트에서만 허용됩니다.
퍼블릭 인터넷을 통해 트래픽을 전송하지 않고 Virtual Private Cloud(VPC) AWS KMS 에서에 직접 연결하려면 로 구동되는 VPC 엔드포인트를 사용합니다[AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/). 자세한 내용은 [VPC 엔드포인트를 AWS KMS 통해에 연결](kms-vpc-endpoint.md) 단원을 참조하십시오.
AWS KMS 는 전송 계층 보안(TLS) 네트워크 암호화 프로토콜에 대한 [하이브리드 포스트 양자 키 교환](pqtls.md) 옵션도 지원합니다. AWS KMS API 엔드포인트에 연결할 때 TLS에서이 옵션을 사용할 수 있습니다.
# 에 대한 자격 증명 및 액세스 관리 AWS Key Management Service
AWS Identity and Access Management (IAM)를 사용하면 AWS 리소스에 대한 액세스를 안전하게 제어할 수 있습니다. 관리자는 누가 AWS KMS 리소스를 사용할 수 있는 *인증*(로그인) 및 *권한*(권한 있음)을 받을 수 있는지 제어합니다. 자세한 내용은 [에서 IAM 정책 사용 AWS KMS](iam-policies.md) 단원을 참조하십시오.
[키 정책은](key-policies.md)의 KMS 키에 대한 액세스를 제어하는 기본 메커니즘입니다 AWS KMS. 모든 KMS 키에는 키 정책이 있어야 합니다. 또한 키 정책과 함께 [IAM 정책](iam-policies.md) 및 [권한 부여](grants.md)를 사용하여 KMS 키에 대한 액세스를 제어할 수 있습니다. 자세한 내용은 [KMS 키 액세스 및 권한](control-access.md) 단원을 참조하십시오.
Amazon Virtual Private Cloud(VPC)를 사용하는 경우 로 AWS KMS 구동되는 [인터페이스 VPC 엔드포인트를 생성할](kms-vpc-endpoint.md) 수 있습니다[AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/). VPC 엔드포인트 정책을 사용하여 AWS KMS 엔드포인트에 액세스할 수 있는 보안 주체, 수행할 수 있는 API 호출, 액세스할 수 있는 KMS 키를 확인할 수도 있습니다.
**Topics**
+ [AWS 에 대한 관리형 정책 AWS Key Management Service](security-iam-awsmanpol.md)
+ [에 대한 서비스 연결 역할 사용 AWS KMS](using-service-linked-roles.md)
# AWS 에 대한 관리형 정책 AWS Key Management Service
AWS 관리형 정책은에서 생성하고 관리하는 독립 실행형 정책입니다 AWS. AWS 관리형 정책은 사용자, 그룹 및 역할에 권한 할당을 시작할 수 있도록 많은 일반적인 사용 사례에 대한 권한을 제공하도록 설계되었습니다.
AWS 관리형 정책은 모든 AWS 고객이 사용할 수 있으므로 특정 사용 사례에 대해 최소 권한을 부여하지 않을 수 있습니다. 사용 사례에 고유한 [고객 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)을 정의하여 권한을 줄이는 것이 좋습니다.
AWS 관리형 정책에 정의된 권한은 변경할 수 없습니다. 가 관리형 정책에 정의된 권한을 AWS 업데이트하는 AWS 경우 업데이트는 정책이 연결된 모든 보안 주체 자격 증명(사용자, 그룹 및 역할)에 영향을 미칩니다. AWS AWS 서비스 는 새가 시작되거나 기존 서비스에 새 API 작업을 사용할 수 있게 되면 AWS 관리형 정책을 업데이트할 가능성이 높습니다.
자세한 내용은 *IAM 사용자 가이드*의 [AWS 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)을 참조하세요.
## AWS 관리형 정책: AWSKeyManagementServicePowerUser
`AWSKeyManagementServicePowerUser` 정책을 IAM ID에 연결할 수 있습니다.
`AWSKeyManagementServicePowerUser` 관리형 정책을 사용하여 계정의 IAM 보안 주체에게 고급 사용자 권한을 부여할 수 있습니다. 고급 사용자는 KMS 키를 생성하고, 자신이 생성한 KMS 키를 사용 및 관리하고, 모든 KMS 키와 IAM 자격 증명을 볼 수 있습니다. `AWSKeyManagementServicePowerUser` 관리형 정책이 있는 보안 주체는 키 정책, 기타 IAM 정책 및 권한 부여를 비롯한 다른 소스에서 권한을 얻을 수도 있습니다.
`AWSKeyManagementServicePowerUser`는 AWS 관리형 IAM 정책입니다. AWS 관리형 정책에 대한 자세한 내용은 *IAM 사용 설명서*의 [AWS 관리형 정책을](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) 참조하세요.
**참고**
이 정책의 KMS 키와 관련된 권한(예: `kms:TagResource` 및 `kms:GetKeyRotationStatus`)은 해당 KMS 키에 대한 키 정책에서, AWS 계정 이 IAM 정책을 사용하여 키에 대한 액세스를 제어하도록 [명시적으로 허용](key-policy-default.md#key-policy-default-allow-root-enable-iam)하는 경우에만 유효합니다. 권한이 KMS 키와 관련된 것인지 확인하려면 [AWS KMS 권한](kms-api-permissions-reference.md) 섹션의 **리소스(Resources)** 열에 **KMS 키(KMS key)**라는 값이 있는지 확인합니다.
이 정책은 고급 사용자에게 작업을 허용하는 키 정책이 있는 모든 KMS 키에 대한 권한을 부여합니다. 계정 간 권한(예: `kms:DescribeKey` 및 `kms:ListGrants`)의 경우 여기에는 신뢰할 수 없는 AWS 계정의 KMS 키가 포함될 수 있습니다. 자세한 내용은 [IAM 정책 모범 사례](iam-policies-best-practices.md) 및 [다른 계정의 사용자가 KMS를 사용하도록 허용](key-policy-modifying-external-accounts.md) 섹션을 참조하세요. 다른 계정의 KMS 키에 대한 권한이 유효한지 확인하려면 [AWS KMS 권한](kms-api-permissions-reference.md) 섹션에서 **계정 간 사용(Cross-account use)** 열에 **예(Yes)**라는 값이 있는지 확인합니다.
보안 주체가 오류 없이 AWS KMS 콘솔을 볼 수 있도록 하려면 보안 주체에 `AWSKeyManagementServicePowerUser` 정책에 포함되지 않은 [tag:GetResources](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/API_GetResources.html) 권한이 필요합니다. 별도의 IAM 정책에서 이 권한을 허용할 수 있습니다.
[AWSKeyManagementServicePowerUser](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSKeyManagementServicePowerUser) 관리형 IAM 정책에는 다음 권한이 포함됩니다.
+ 보안 주체가 KMS 키를 생성하도록 허용합니다. 이 프로세스에는 키 정책 설정이 포함되므로 고급 사용자는 자신이 생성한 KMS 키를 사용하고 관리할 수 있는 권한을 자신과 다른 사용자에게 부여할 수 있습니다.
+ 보안 주체가 모든 KMS 키에서 [별칭](kms-alias.md)과 [태그](tagging-keys.md)를 만들고 삭제할 수 있습니다. 태그나 별칭을 변경하면 KMS 키를 사용하고 관리할 수 있는 권한을 허용하거나 거부할 수 있습니다. 자세한 내용은 [에 대한 ABAC AWS KMS](abac.md) 섹션을 참조하세요.
+ 보안 주체가 키 ARN, 암호화 구성, 키 정책, 별칭, 태그 및 [교체 상태](rotate-keys.md)를 포함하여 모든 KMS 키에 대한 자세한 정보를 얻을 수 있습니다.
+ 보안 주체가 IAM 사용자, 그룹 및 역할을 나열하도록 허용합니다.
+ 이 정책은 보안 주체가 자신이 생성하지 않은 KMS 키를 사용하거나 관리하도록 허용하지 않습니다. 하지만 모든 KMS 키의 별칭 및 태그를 변경할 수 있으므로, KMS 키를 사용하거나 관리할 권한이 허용 또는 거부될 수 있습니다.
이 정책의 권한을 보려면 AWS 관리형 정책 참조의 [AWSKeyManagementServicePowerUser](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSKeyManagementServicePowerUser.html)를 참조하세요.
## AWS 관리형 정책: AWSServiceRoleForKeyManagementServiceCustomKeyStores
`AWSServiceRoleForKeyManagementServiceCustomKeyStores`를 IAM 엔티티에 연결할 수 없습니다. 이 정책은 키 스토어와 연결된 AWS CloudHSM 클러스터를 보고 사용자 지정 AWS CloudHSM 키 스토어와 AWS CloudHSM 클러스터 간의 연결을 지원하는 네트워크를 생성할 수 있는 권한을 부여하는 AWS KMS 서비스 연결 역할에 연결됩니다. 자세한 내용은 [AWS CloudHSM 및 Amazon EC2 리소스를 관리할 수 AWS KMS 있는 권한 부여](authorize-kms.md) 단원을 참조하십시오.
## AWS 관리형 정책: AWSServiceRoleForKeyManagementServiceMultiRegionKeys
`AWSServiceRoleForKeyManagementServiceMultiRegionKeys`를 IAM 엔티티에 연결할 수 없습니다. 이 정책은 서비스 연결 역할에 연결되며, 다중 리전 프라이머리 키의 키 구성 요소 변경 사항을 복제 키에 동기화할 수 있는 AWS KMS 권한을 부여합니다. 자세한 내용은 [다중 리전 키 AWS KMS 동기화 권한 부여](multi-region-auth-slr.md) 단원을 참조하십시오.
## AWS KMS AWS 관리형 정책에 대한 업데이트
이 서비스가 이러한 변경 사항을 추적하기 시작한 AWS KMS 이후부터의 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다. 이 페이지의 변경 사항에 대한 자동 알림을 받아보려면 AWS KMS [문서 기록](dochistory.md) 페이지에서 RSS 피드를 구독하세요.
| 변경 | 설명 | Date |
| --- | --- | --- |
| [AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy](multi-region-auth-slr.md) - 기존 정책 업데이트 | AWS KMS 는 정책 버전 v2의 관리형 정책에 문 ID(`Sid`) 필드를 추가했습니다. | 2024년 11월 21일 |
| [AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy](authorize-kms.md) - 기존 정책 업데이트 | AWS KMS 는 실패 시가 명확한 오류 메시지를 제공할 AWS KMS 수 있도록 AWS CloudHSM 클러스터가 포함된 VPC의 변경 사항을 모니터링할 수 있는 `ec2:DescribeVpcs``ec2:DescribeNetworkAcls`, 및 `ec2:DescribeNetworkInterfaces` 권한을 추가했습니다. | 2023년 11월 10일 |
| AWS KMS 에서 변경 내용 추적 시작 | AWS KMS 가 AWS 관리형 정책에 대한 변경 내용 추적을 시작했습니다. | 2023년 11월 10일 |
# 에 대한 서비스 연결 역할 사용 AWS KMS
AWS Key Management Service 는 AWS Identity and Access Management (IAM)[ 서비스 연결 역할을](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) 사용합니다. 서비스 연결 역할은 직접 연결된 고유한 유형의 IAM 역할입니다 AWS KMS. 서비스 연결 역할은에서 정의 AWS KMS 하며 서비스에서 사용자를 대신하여 다른 AWS 서비스를 호출하는 데 필요한 모든 권한을 포함합니다.
필요한 권한을 수동으로 추가할 필요가 없으므로 서비스 연결 역할을 더 AWS KMS 쉽게 설정할 수 있습니다.는 서비스 연결 역할의 권한을 AWS KMS 정의하며, 달리 정의되지 않은 한 만 해당 역할을 수임 AWS KMS 할 수 있습니다. 정의된 권한에는 신뢰 정책과 권한 정책이 포함되며, 이 권한 정책은 다른 IAM 엔터티에 연결할 수 없습니다.
먼저 관련 리소스를 삭제한 후에만 서비스 링크 역할을 삭제할 수 있습니다. 이렇게 하면 AWS KMS 리소스에 대한 액세스 권한을 실수로 제거할 수 없기 때문에 리소스가 보호됩니다.
서비스 연결 역할을 지원하는 기타 서비스에 대한 자세한 내용은 [IAM으로 작업하는AWS 서비스](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)를 참조해 **서비스 연결 역할** 열이 **예(Yes)**인 서비스를 찾으세요. 해당 서비스에 대한 서비스 연결 역할 설명서를 보려면 **예(Yes)** 링크를 선택합니다.
이 주제에서 다루는 서비스 연결 역할의 업데이트에 대한 세부 정보를 확인하려면 [AWS KMS AWS 관리형 정책에 대한 업데이트](security-iam-awsmanpol.md#security-iam-awsmanpol-updates) 페이지를 참조하세요.
**Topics**
+ [AWS CloudHSM 및 Amazon EC2 리소스를 관리할 수 AWS KMS 있는 권한 부여](authorize-kms.md)
+ [다중 리전 키 AWS KMS 동기화 권한 부여](multi-region-auth-slr.md)
# AWS CloudHSM 및 Amazon EC2 리소스를 관리할 수 AWS KMS 있는 권한 부여
AWS CloudHSM 키 스토어를 지원하려면 AWS CloudHSM 클러스터에 대한 정보를 가져올 수 있는 권한이 AWS KMS 필요합니다. 또한 AWS CloudHSM 키 스토어를 AWS CloudHSM 클러스터에 연결하는 네트워크 인프라를 생성할 수 있는 권한이 필요합니다. 이러한 권한을 얻기 위해는에서 **AWSServiceRoleForKeyManagementServiceCustomKeyStores** 서비스 연결 역할을 AWS KMS 생성합니다 AWS 계정. AWS CloudHSM 키 스토어를 생성하는 사용자는 서비스 연결 역할을 생성할 수 있는 `iam:CreateServiceLinkedRole` 권한이 있어야 합니다.
**AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy** 관리형 정책의 업데이트에 대한 세부 정보를 보려면 [AWS KMS AWS 관리형 정책에 대한 업데이트](security-iam-awsmanpol.md#security-iam-awsmanpol-updates) 페이지를 참조하세요.
**Topics**
+ [AWS KMS 서비스 연결 역할 정보](#about-key-store-slr)
+ [서비스 연결 역할 생성](#create-key-store-slr)
+ [서비스 연결 역할 설명 편집](#edit-key-store-slr)
+ [서비스 연결 역할 삭제](#delete-key-store-slr)
## AWS KMS 서비스 연결 역할 정보
[서비스 연결 역할은](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) 사용자를 대신하여 다른 AWS 서비스를 호출할 수 있는 권한을 한 AWS 서비스에 부여하는 IAM 역할입니다. 복잡한 IAM 정책을 생성하고 유지 관리할 필요 없이 여러 통합 AWS 서비스의 기능을 더 쉽게 사용할 수 있도록 설계되었습니다. 자세한 내용은 [에 대한 서비스 연결 역할 사용 AWS KMS](using-service-linked-roles.md) 단원을 참조하십시오.
AWS CloudHSM 키 스토어의 경우 **AWSServiceRoleForKeyManagementServiceCustomKeyStores** **AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy** 서비스 연결 역할을 AWS KMS 생성합니다. 이 정책은 이 역할에 다음 권한을 부여합니다.
+ [cloudhsm:Describe\$1](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html) - 사용자 지정 키 스토어에 연결된 AWS CloudHSM 클러스터의 변경 사항을 감지합니다.
+ [ec2:CreateSecurityGroup](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateSecurityGroup.html) - [AWS CloudHSM 키 스토어를 연결하여](connect-keystore.md) AWS KMS 와 AWS CloudHSM 클러스터 간의 네트워크 트래픽 흐름을 지원하는 보안 그룹을 생성할 때 사용됩니다.
+ [ec2:AuthorizeSecurityGroupIngress](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_AuthorizeSecurityGroupIngress.html) – [AWS CloudHSM 키 스토어를 연결하여](connect-keystore.md)에서 AWS CloudHSM 클러스터가 포함된 VPC AWS KMS 로 네트워크 액세스를 허용할 때 사용됩니다.
+ [ec2:CreateNetworkInterface](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateNetworkInterface.html) – [AWS CloudHSM 키 스토어를 연결하여](connect-keystore.md) AWS KMS 와 AWS CloudHSM 클러스터 간의 통신에 사용되는 네트워크 인터페이스를 생성할 때 사용됩니다.
+ [ec2:RevokeSecurityGroupEgress](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_RevokeSecurityGroupEgress.html) – [AWS CloudHSM 키 스토어를 연결하여](connect-keystore.md)가 AWS KMS 생성한 보안 그룹에서 모든 아웃바운드 규칙을 제거할 때 사용됩니다.
+ [ec2:DeleteSecurityGroup](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteSecurityGroup.html) – [AWS CloudHSM 키 스토어를 연결](disconnect-keystore.md) 해제하여 AWS CloudHSM 키 스토어를 연결할 때 생성된 보안 그룹을 삭제할 때 사용됩니다.
+ [ec2:DescribeSecurityGroups](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeSecurityGroups.html) -가 실패 시 명확한 오류 메시지를 제공할 AWS KMS 수 있도록 AWS CloudHSM 클러스터가 포함된 VPC에서가 AWS KMS 생성한 보안 그룹의 변경 사항을 모니터링하는 데 사용됩니다.
+ [ec2:DescribeVpcs](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpcs.html) - 실패 시가 명확한 오류 메시지를 제공할 AWS KMS 수 있도록 AWS CloudHSM 클러스터가 포함된 VPC의 변경 사항을 모니터링하는 데 사용됩니다.
+ [ec2:DescribeNetworkAcls](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeNetworkAcls.html) –가 장애 발생 시 명확한 오류 메시지를 제공할 AWS KMS 수 있도록 AWS CloudHSM 클러스터가 포함된 VPC의 네트워크 ACLs 변경 사항을 모니터링하는 데 사용됩니다.
+ [ec2:DescribeNetworkInterfaces](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeNetworkInterfaces.html) –가 장애 발생 시 명확한 오류 메시지를 제공할 수 있도록 AWS CloudHSM AWS KMS 클러스터가 포함된 VPC에서 AWS KMS 생성된 네트워크 인터페이스의 변경 사항을 모니터링하는 데 사용됩니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudhsm:Describe*",
"ec2:CreateNetworkInterface",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateSecurityGroup",
"ec2:DescribeSecurityGroups",
"ec2:RevokeSecurityGroupEgress",
"ec2:DeleteSecurityGroup",
"ec2:DescribeVpcs",
"ec2:DescribeNetworkAcls",
"ec2:DescribeNetworkInterfaces"
],
"Resource": "*"
}
]
}
```
------
**AWSServiceRoleForKeyManagementServiceCustomKeyStores** 서비스 연결 역할은 만 신뢰하므로 `cks.kms.amazonaws.com`만이 서비스 연결 역할을 수임 AWS KMS 할 수 있습니다. 이 역할은가 AWS CloudHSM 클러스터를 보고 AWS CloudHSM 키 스토어를 연결된 AWS CloudHSM 클러스터에 연결 AWS KMS 해야 하는 작업으로 제한됩니다. 추가 AWS KMS 권한을 부여하지 않습니다. 예를 들어 에는 AWS CloudHSM 클러스터, HSMs 또는 백업을 생성, 관리 또는 삭제할 수 있는 권한이 AWS KMS 없습니다.
**리전**
AWS CloudHSM 키 스토어 기능과 마찬가지로 **AWSServiceRoleForKeyManagementServiceCustomKeyStores** 역할은 AWS KMS 및를 사용할 수 AWS 리전 있는 모든에서 지원 AWS CloudHSM 됩니다. AWS 리전 각 서비스가 지원하는 목록은의 [AWS Key Management Service 엔드포인트 및 할당량](https://docs.aws.amazon.com/general/latest/gr/kms.html)과 [AWS CloudHSM 엔드포인트 및 할당량을 참조하세요](https://docs.aws.amazon.com/general/latest/gr/cloudhsm.html)*Amazon Web Services 일반 참조*.
AWS 서비스에서 서비스 연결 역할을 사용하는 방법에 대한 자세한 내용은 IAM 사용 설명서의 [서비스 연결 역할 사용을](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) 참조하세요.
## 서비스 연결 역할 생성
AWS KMS 역할이 아직 없는 경우 AWS CloudHSM 키 스토어를 생성할 때에서 AWS 계정 **AWSServiceRoleForKeyManagementServiceCustomKeyStores** 서비스 연결 역할을 자동으로 생성합니다. 사용자는 이러한 서비스 연결 역할을 직접 생성하거나 다시 생성할 수 없습니다.
## 서비스 연결 역할 설명 편집
**AWSServiceRoleForKeyManagementServiceCustomKeyStores** 서비스 연결 역할에서 역할 이름 또는 정책 설명을 편집할 수 없지만, 역할 설명은 편집이 가능합니다. 지침은 IAM 사용 설명서**의 [서비스 연결 역할 편집](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)을 참조하세요.
## 서비스 연결 역할 삭제
AWS KMS 키 스토어를 모두 삭제했더라도는에서 AWS 계정 **AWSServiceRoleForKeyManagementServiceCustomKeyStores** 서비스 연결 역할을 삭제하지 않습니다. [AWS CloudHSM](delete-keystore.md) 현재 **AWSServiceRoleForKeyManagementServiceCustomKeyStores** 서비스 연결 역할을 삭제하는 절차는 없지만 활성 AWS CloudHSM 키 스토어가 없는 한는이 역할을 수임하거나 권한을 사용하지 AWS KMS 않습니다.
# 다중 리전 키 AWS KMS 동기화 권한 부여
[다중 리전 키를](multi-region-keys-auth.md) 지원하려면 다중 리전 기본 키의 [공유 속성을](multi-region-keys-overview.md#mrk-sync-properties) 복제본 키와 동기화할 수 있는 권한이 AWS KMS 필요합니다. 이러한 권한을 얻기 위해는에서 **AWSServiceRoleForKeyManagementServiceMultiRegionKeys** 서비스 연결 역할을 AWS KMS 생성합니다 AWS 계정. 다중 리전 키를 생성하는 사용자는 서비스 연결 역할을 생성할 수 있는 `iam:CreateServiceLinkedRole` 권한을 보유해야 합니다.
AWS CloudTrail 로그에 공유 속성 AWS KMS 동기화를 기록하는 [SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md) CloudTrail 이벤트를 볼 수 있습니다.
**AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy** 관리형 정책의 업데이트에 대한 세부 정보를 보려면 [AWS KMS AWS 관리형 정책에 대한 업데이트](security-iam-awsmanpol.md#security-iam-awsmanpol-updates) 페이지를 참조하세요.
**Topics**
+ [다중 리전 키에 대한 서비스 연결 역할](#about-multi-region-slr)
+ [서비스 연결 역할 생성](#create-mrk-slr)
+ [서비스 연결 역할 설명 편집](#edit-mrk-slr)
+ [서비스 연결 역할 삭제](#delete-mrk-slr)
## 다중 리전 키에 대한 서비스 연결 역할
[서비스 연결 역할은](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) 사용자를 대신하여 다른 AWS 서비스를 호출할 수 있는 권한을 AWS 한 서비스에 부여하는 IAM 역할입니다. 복잡한 IAM 정책을 생성하고 유지 관리할 필요 없이 여러 통합 AWS 서비스의 기능을 더 쉽게 사용할 수 있도록 설계되었습니다.
다중 리전 키의 경우는 **AWSServiceRoleForKeyManagementServiceMultiRegionKeys** **AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy** 서비스 연결 역할을 AWS KMS 생성합니다. 이 정책은 역할에 `kms:SynchronizeMultiRegionKey` 권한을 부여하여 다중 리전 키의 공유 속성을 동기화할 수 있도록 합니다.
**AWSServiceRoleForKeyManagementServiceMultiRegionKeys** 서비스 연결 역할은 만 신뢰하므로 `mrk.kms.amazonaws.com`만이 서비스 연결 역할을 수임 AWS KMS 할 수 있습니다. 이 역할은 다중 리전 공유 속성을 동기화 AWS KMS 해야 하는 작업으로 제한됩니다. 추가 AWS KMS 권한을 부여하지 않습니다. 예를 들어 AWS KMS 에는 KMS 키를 생성, 복제 또는 삭제할 수 있는 권한이 없습니다.
AWS 서비스에서 서비스 연결 역할을 사용하는 방법에 대한 자세한 내용은 IAM 사용 설명서의 [서비스 연결 역할 사용을 참조하세요](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid" : "KMSSynchronizeMultiRegionKey",
"Effect" : "Allow",
"Action" : [
"kms:SynchronizeMultiRegionKey"
],
"Resource" : "*"
}
]
}
```
------
## 서비스 연결 역할 생성
AWS KMS 역할이 아직 없는 경우 다중 리전 키를 생성할 AWS 계정 때에서 **AWSServiceRoleForKeyManagementServiceMultiRegionKeys** 서비스 연결 역할을 자동으로 생성합니다. 사용자는 이러한 서비스 연결 역할을 직접 생성하거나 다시 생성할 수 없습니다.
## 서비스 연결 역할 설명 편집
**AWSServiceRoleForKeyManagementServiceMultiRegionKeys** 서비스 연결 역할에서 역할 이름 또는 정책문을 편집할 수 없지만, 역할 설명은 편집이 가능합니다. 지침은 *IAM 사용 설명서*의 [서비스 연결 역할 편집](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) 단원을 참조하십시오.
## 서비스 연결 역할 삭제
AWS KMS 는에서 **AWSServiceRoleForKeyManagementServiceMultiRegionKeys** 서비스 연결 역할을 삭제하지 AWS 계정 않으며 삭제할 수 없습니다. 그러나 AWS 계정 및 리전에 다중 리전 키가 없는 한 AWS KMS 는 **AWSServiceRoleForKeyManagementServiceMultiRegionKeys** 역할을 수임하거나 해당 권한을 사용하지 않습니다.
# 에서 로깅 및 모니터링 AWS Key Management Service
모니터링은 AWS KMS에서 AWS KMS keys 의 가용성, 상태 및 사용량을 이해하는 데 중요한 부분입니다. 모니터링은 AWS 솔루션의 보안, 신뢰성, 가용성 및 성능을 유지하는 데 도움이 됩니다.는 KMS 키를 모니터링하기 위한 여러 도구를 AWS 제공합니다.
**AWS CloudTrail 로그**
AWS KMS API 작업에 대한 모든 호출은 AWS CloudTrail 로그에 이벤트로 캡처됩니다. 이러한 로그는 AWS KMS 콘솔의 모든 API 호출과 및 기타 AWS 서비스의 호출 AWS KMS 을 기록합니다. 다른 AWS 계정에서 KMS 키를 사용하기 위한 호출과 같은 교차 계정 API 호출은 두 계정의 CloudTrail 로그에 기록됩니다.
문제 해결 또는 감사 시 로그를 사용하여 KMS 키의 수명 주기를 재구성할 수 있습니다. 암호화 작업에서 KMS 키의 관리 및 사용을 볼 수도 있습니다. 자세한 내용은 [를 사용하여 AWS KMS API 호출 로깅 AWS CloudTrail](logging-using-cloudtrail.md) 단원을 참조하십시오.
**Amazon CloudWatch Logs**
AWS CloudTrail 및 기타 소스에서 로그 파일을 모니터링, 저장 및 액세스합니다. 자세한 설명은 [Amazon CloudWatch 사용 설명서](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/)를 참조하세요.
AWS KMS의 경우 CloudWatch는 KMS 키 및 키가 보호하는 리소스의 문제를 방지하는 데 도움이 되는 유용한 정보를 저장합니다. 자세한 내용은 [Amazon CloudWatch를 사용하여 KMS 키 모니터링](monitoring-cloudwatch.md) 단원을 참조하십시오.
**Amazon EventBridge**
AWS KMS 는 KMS 키가 [교체](rotate-keys.md) 또는 [삭제](deleting-keys.md)되거나 KMS 키에서 [가져온 키 구성](importing-keys.md) 요소가 만료될 때 EventBridge 이벤트를 생성합니다. AWS KMS 이벤트(API 작업)를 검색하고 하나 이상의 대상 함수 또는 스트림으로 라우팅하여 상태 정보를 캡처합니다. 자세한 내용은 [Amazon EventBridge를 사용하여 KMS 키 모니터링](kms-events.md) 및 [Amazon EventBridge 사용 설명서](https://docs.aws.amazon.com/eventbridge/latest/userguide/)를 참조하세요.
**Amazon CloudWatch 지표**
에서 원시 데이터를 수집하여 성능 지표 AWS KMS 로 처리하는 CloudWatch 지표를 사용하여 KMS 키를 모니터링할 수 있습니다. 데이터는 2주 간격으로 기록되므로 현재 및 과거 정보의 추세를 볼 수 있습니다. 이렇게 하면 KMS 키가 사용되는 방식과 시간이 지남에 따라 KMS 키의 사용이 어떻게 변경되는지 이해할 수 있습니다. CloudWatch 지표를 사용하여 KMS 키를 모니터링하는 방법에 대한 자세한 내용은 [AWS KMS 지표 및 차원](monitoring-cloudwatch.md#kms-metrics) 단원을 참조하세요.
**Amazon CloudWatch 경보**
지정한 기간 동안 단일 지표가 변경되는 것을 관찰합니다. 그런 다음 여러 기간 동안 임계값과 관련된 메트릭 값을 기반으로 작업을 수행합니다. 예를 들어 누군가가 암호화 작업에서 삭제되도록 예약된 KMS 키를 사용하려고 할 때 트리거되는 CloudWatch 경보를 생성할 수 있습니다. 이것은 KMS 키가 여전히 사용 중이며 삭제해서는 안 됨을 나타냅니다. 자세한 내용은 [삭제 보류 중인 KMS 키 사용을 감지하는 경보 생성](deleting-keys-creating-cloudwatch-alarm.md) 단원을 참조하십시오.
**AWS Security Hub CSPM**
를 사용하여 보안 업계 표준 및 모범 사례 규정 준수에 대한 AWS KMS 사용량을 모니터링할 수 있습니다 AWS Security Hub CSPM. Security Hub CSPM은 보안 제어를 사용해 리소스 구성 및 보안 표준을 평가하여 다양한 규정 준수 프레임워크를 준수할 수 있도록 지원합니다. 자세한 내용은 *AWS Security Hub 사용 설명서*의 [AWS Key Management Service 제어](https://docs.aws.amazon.com/securityhub/latest/userguide/kms-controls.html)를 참조하세요.
# 에 대한 규정 준수 검증 AWS Key Management Service
타사 감사자는 여러 규정 준수 프로그램의 AWS Key Management Service 일환으로의 보안 및 AWS 규정 준수를 평가합니다. 여기에는 SOC, PCI, FedRAMP, HIPAA 등이 포함됩니다.
**Topics**
+ [규정 준수 및 보안 문서](#compliance-documents)
+ [자세히 알아보기](#compliance-more)
## 규정 준수 및 보안 문서
다음 규정 준수 및 보안 문서에서 다룹니다 AWS KMS. [AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html)를 사용하여 살펴보십시오.
+ C5(Cloud Computing Compliance Controls Catalogue)
+ ISO 27001:2013 적용성 보고서(SoA)
+ ISO 27001:2013 인증서
+ ISO 27017:2015 적용성 보고서(SoA)
+ ISO 27017:2015 인증서
+ ISO 27018:2015 적용성 보고서(SoA)
+ ISO 27018:2014 인증서
+ ISO 9001:2015 인증서
+ PCI DSS 규정 준수 증명(AOC) 및 책임 요약
+ SOC(Service Organization Controls) 1 보고서
+ SOC(Service Organization Controls) 2 보고서
+ 기밀성에 대한 SOC(Service Organization Controls) 2 보고서
+ FedRAMP-High
사용에 대한 도움말은 아티팩트에서 보고서 다운로드를 AWS Artifact참조하세요. [AWS](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)
## 자세히 알아보기
사용 시 규정 준수 책임은 데이터의 민감도, 회사의 규정 준수 목표, 관련 법률 및 규정에 따라 AWS KMS 결정됩니다. 를 사용할 때 게시된 표준을 준수해야 AWS KMS 하는 경우는 도움이 되는 리소스를 AWS 제공합니다.
+ [AWS 규정 준수 프로그램 제공 범위 내 서비스 ](https://aws.amazon.com/compliance/services-in-scope/)-이 페이지에는 특정 규정 준수 프로그램의 범위에 속하는 AWS 서비스가 나열됩니다. 일반 정보는 [AWS 규정 준수 프로그램](https://aws.amazon.com/compliance/programs/)을 참조하세요.
+ [보안 및 규정 준수 빠른 시작 가이드](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance) -이 배포 가이드에서는 아키텍처 고려 사항에 대해 설명하고 보안 및 규정 준수 중심 기준 환경을 배포하기 위한 단계를 제공합니다 AWS.
+ [AWS 규정 준수 리소스](https://aws.amazon.com/compliance/resources/) -이 워크북 및 가이드 모음은 산업 및 위치에 적용될 수 있습니다.
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) -이 AWS 서비스는 리소스 구성이 내부 관행, 업계 지침 및 규정을 얼마나 잘 준수하는지 평가합니다.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) -이 AWS 서비스는 내 보안 상태에 대한 포괄적인 보기를 제공합니다 AWS. Security Hub CSPM은 보안 제어를 사용하여 AWS 리소스를 평가하고 보안 업계 표준 및 모범 사례에 대한 규정 준수를 확인합니다. 지원되는 서비스 및 제어 목록은 [Security Hub CSPM 제어 참조](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-controls-reference.html)를 참조하세요.
# 의 복원력 AWS Key Management Service
AWS 글로벌 인프라는 AWS 리전 및 가용 영역을 중심으로 구축됩니다.는 지연 시간이 짧고 처리량이 많으며 중복성이 높은 네트워킹과 연결된 물리적으로 분리되고 격리된 여러 가용 영역을 AWS 리전 제공합니다. 가용 영역을 사용하면 중단 없이 가용 영역 간에 자동으로 장애 조치가 이루어지는 애플리케이션 및 데이터베이스를 설계하고 운영할 수 있습니다. 가용 영역은 기존의 단일 또는 복수 데이터 센터 인프라보다 가용성, 내결함성, 확장성이 뛰어납니다.
AWS 글로벌 인프라 외에도는 데이터 복원성과 백업 요구 사항을 지원하는 몇 가지 기능을 AWS KMS 제공합니다. AWS 리전 및 가용 영역에 대한 자세한 내용은 [AWS 글로벌 인프라를](https://aws.amazon.com/about-aws/global-infrastructure/) 참조하세요.
## 리전별 격리
AWS Key Management Service (AWS KMS)는 모든에서 사용할 수 있는 자급자족 리전 서비스입니다 AWS 리전. 의 리전별로 격리된 설계는 한의 가용성 문제가 다른 리전의 AWS KMS 작업에 영향을 AWS 리전 미치지 않도록 AWS KMS 합니다. AWS KMS 는 모든 소프트웨어 업데이트 및 조정 작업이 원활하고 눈에 띄지 않게 수행되므로 *계획된 가동 중지 시간이 없도록* 설계되었습니다.
AWS KMS [서비스 수준 계약](https://aws.amazon.com/kms/sla/)(SLA)에는 모든 KMS APIs. 이 보장을 이행하기 위해 AWS KMS 는 API 요청을 실행하는 데 필요한 모든 데이터 및 권한 부여 정보가 요청을 수신하는 모든 리전 호스트에서 사용할 수 있도록 합니다.
AWS KMS 인프라는 각 리전에서 최소 3개의 가용 영역(AZs)에 복제됩니다. 여러 호스트 장애가 AWS KMS 성능 AWS KMS 에 영향을 미치지 않도록는 리전의 모든 AZs에서 고객 트래픽을 처리하도록 설계되었습니다.
KMS 키의 속성 또는 권한에 대한 변경 사항은 리전의 모든 호스트에서 후속 요청을 올바르게 처리할 수 있도록 리전의 모든 호스트에 복제됩니다. KMS 키를 사용한 [암호화 작업](kms-cryptography.md#cryptographic-operations) 요청은 AWS KMS 하드웨어 보안 모듈(HSMs 플릿으로 전달되며,이 플릿은 KMS 키로 작업을 수행할 수 있습니다.
## 멀티 테넌트 디자인
의 멀티 테넌트 설계를 AWS KMS 통해 99.999% 가용성 SLA를 충족하고 높은 요청 속도를 유지하면서 키와 데이터의 기밀성을 보호할 수 있습니다.
암호화 작업에 지정한 KMS 키가 항상 사용되는 키인지 확인하기 위해 여러 무결성 보장 메커니즘이 배포됩니다.
KMS 키의 일반 텍스트 키 구성 요소는 광범위하게 보호됩니다. 키 구성 요소는 생성되는 즉시 HSM에서 암호화되며 암호화된 키 구성 요소는 즉시 안전하고 지연 시간이 짧은 스토리지로 옮겨집니다. 암호화된 키는 사용 시 HSM 내에서 검색 및 해독됩니다. 일반 텍스트 키는 암호화 작업을 완료하는 데 필요한 시간 동안만 HSM 메모리에 남아 있습니다. 그런 다음 HSM에서 다시 암호화되고 암호화된 키가 스토리지로 반환됩니다. 일반 텍스트 키 구성 요소는 HSM을 절대 떠나지 않으며 영구 스토리지에 절대 기록되지 않습니다.
## 의 복원력 모범 사례 AWS KMS
AWS KMS 리소스의 복원력을 최적화하려면 다음 전략을 고려하세요.
+ 백업 및 재해 복구 전략을 지원하려면 단일 AWS 리전 에서 생성되며 지정한 리전에만 복제되는 KMS 키인 *다중 리전 키*를 고려하세요. 다중 리전 키를 사용하면 일반 텍스트를 노출하지 않고 암호화된 리소스를 사이 AWS 리전 (동일한 파티션 내)로 이동하고 필요한 경우 대상 리전에서 리소스를 해독할 수 있습니다. 관련 다중 리전 키는 동일한 키 구성 요소와 키 ID를 공유하므로 상호 운용이 가능하지만 고해상도 액세스 제어를 위한 독립적인 키 정책을 가집니다. 자세한 내용은 [AWS KMS의 다중 리전 키](multi-region-keys-overview.md)를 참조하세요.
+ 와 같은 다중 테넌트 서비스에서 키를 보호하려면 [키 정책](key-policies.md) 및 [IAM 정책을](iam-policies.md) 포함한 액세스 제어를 사용해야 AWS KMS합니다. 또한 기반 *VPC 인터페이스 엔드포인트*를 AWS KMS 사용하여에 요청을 보낼 수 있습니다 AWS PrivateLink. 이렇게 하면 Amazon VPC와 간의 모든 통신 AWS KMS 이 VPC로 제한된 전용 AWS KMS 엔드포인트를 사용하여 AWS 네트워크 내에서 완전히 수행됩니다. [VPC 엔드포인트 정책](https://docs.aws.amazon.com/vpc/latest/privatelink/interface-endpoints.html#edit-vpc-endpoint-policy)을 사용하여 추가 권한 부여 계층을 생성하여 이러한 요청의 보안을 더욱 강화할 수 있습니다. 자세한 내용은 [VPC 엔드포인트를 통해 AWS KMS 로 연결](kms-vpc-endpoint.md)을 참조하세요.
# 의 인프라 보안 AWS Key Management Service
관리형 서비스인 AWS Key Management Service (AWS KMS)는 Amazon Web Services: 보안 프로세스 개요에 설명된 AWS 글로벌 네트워크 보안 절차로 보호됩니다. [https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf)
네트워크를 AWS KMS 통해에 액세스하려면 AWS KMS API [AWS Key Management Service 참조](https://docs.aws.amazon.com/kms/latest/APIReference/)에 설명된 API 작업을 호출할 수 있습니다.는 TLS 1.2를 AWS KMS 요구하고 모든 리전에서 TLS 1.3을 권장합니다. AWS KMS 또한는 중국 리전을 제외한 모든 리전의 AWS KMS 서비스 엔드포인트에 대해 하이브리드 포스트 양자 TLS를 지원합니다. AWS KMS 는의 FIPS 엔드포인트에 대해 하이브리드 포스트 양자 TLS를 지원하지 않습니다 AWS GovCloud (US). [표준 AWS KMS 엔드포인트](https://docs.aws.amazon.com/general/latest/gr/kms.html) 또는 [AWS KMS FIPS 엔트포인트](https://docs.aws.amazon.com/general/latest/gr/kms.html)를 사용하려면 클라이언트가 TLS 1.2 이상을 지원해야 합니다. 클라이언트는 Ephemeral Diffie-Hellman(DHE) 또는 Elliptic Curve Ephemeral Diffie-Hellman(ECDHE)과 같은 완전 전송 보안(PFS)이 포함된 암호 제품군도 지원해야 합니다. Java 7 이상의 최신 시스템은 대부분 이러한 모드를 지원합니다.
또한 요청은 액세스 키 ID 및 IAM 위탁자와 관련된 시크릿 액세스 키를 사용하여 서명해야 합니다. 또는 [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html)(AWS STS)를 사용하여 임시 보안 자격 증명을 생성하여 요청에 서명할 수 있습니다.
모든 네트워크 위치에서 이러한 API 작업을 호출할 수 있지만는 소스 IP 주소, VPC 및 VPC 엔드포인트를 기반으로 KMS 키에 대한 액세스를 제어할 수 있는 글로벌 정책 조건을 AWS KMS 지원합니다. 키 정책 및 IAM 정책에서 이러한 조건 키를 사용할 수 있습니다. 그러나 이러한 조건은가 사용자를 대신하여 KMS 키를 AWS 사용하지 못하게 할 수 있습니다. 자세한 내용은 [AWS 전역 조건 키](conditions-aws.md)을 참조하세요.
예를 들어 다음 키 정책 문을 사용하면 소스 IP 주소가 정책에 지정된 IP 주소 중 하나가 아닌 한 `KMSTestRole` 역할을 수임할 수 있는 사용자가 지정된 [암호화 작업에](kms-cryptography.md#cryptographic-operations) AWS KMS key 이를 사용할 수 있습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": {"AWS":
"arn:aws:iam::111122223333:role/KMSTestRole"},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"NotIpAddress": {
"aws:SourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
}
}
}
}
```
------
## 물리적 호스트의 격리
가 AWS KMS 사용하는 물리적 인프라의 보안에는 [Amazon Web Services: 보안 프로세스 개요](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf)의 **물리적 및 환경적 보안** 섹션에 설명된 제어가 적용됩니다. 이전 섹션에 나열된 규정 준수 보고서와 타사 감사 결과에 대한 자세한 내용을 확인할 수 있습니다.
AWS KMS 는 물리적 공격에 저항하기 위한 특정 제어로 설계된 전용 강화 하드웨어 보안 모듈(HSMs)에서 지원됩니다. HSM은 여러 논리적 테넌트 간에 물리적 장치를 공유하는 하이퍼바이저와 같은 가상화 계층이 *없는* 물리적 장치입니다. AWS KMS keys 에 대한 키 구성 요소는 HSM의 휘발성 메모리에만 저장되며 KMS 키가 사용되는 동안에만 저장됩니다. 이 메모리는 의도한 종료 및 재설정을 포함하여 HSM이 작동 상태를 벗어나면 지워집니다. AWS KMS HSMs. [AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/cryptographic-details/)